İsrail merkezli güvenlik danışmanlığı firması JSOF, DNSpooq olarak bilinen milyonlarca cihaza karşı DNS cache poisonig (önbellek zehirlenmesi), uzaktan kod yürütme ve dos ataklarını gerçekleştirmek için kullanılabilecek yedi Dnsmasq güvenlik açığını açıkladı. Dnsmasq, üzerinde çalıştığı ağ cihazlarına DNS önbelleğe alma ve DHCP (Dinamik Ana Bilgisayar Yapılandırma Protokolü) sunucu yetenekleri ekleyen bilindik ve açık kaynaklı DNS yönlendirme yazılımıdır.
Cihazlarında DNSpooq saldırılarına karşı açık olan Dnsmasq sürümlerini kullanan şirketlerin adı henüz bilinmemektedir. Ancak JSOF, raporlarında Android / Google, Comcast, Cisco, Redhat, Netgear, Qualcomm, Linksys, Netgear, IBM, D-Link, Dell, Huawei ve Ubiquiti dahil olmak üzere 40 firmanın bulunduğu bir liste olduğunu belirtti.
DNSpooq güvenlik açıklarından üçü (CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) olarak izlenebimektedir. Güvenlik açıklarından ikisi DNS önbellek erişimine izin vermektedir. Bu güvenlik açığından faydalanan saldırganlar kullanıcıları kendi kontrollerindeki sunuculara yönlendirirken kullanıcılar bu durumun farkında olmayacaktır.
JSOF’un yayınladığı teknik raporunda “Saldırı saniyeler veya birkaç dakika içinde başarıyla tamamlanabilmekte ve bunu yaparken ekstra bilgiye gerek duyulmamaktadır, ayrıca, birçok dnsmasq örneğinin, WAN arayüzünü dinlemek için yanlış yapılandırıldığını ve bu da saldırıyı doğrudan İnternet’ten yapılmasına olanak sağlamaktadır.” diye belirtti. Shodan’a göre 1 milyondan fazla Dnsmasq sunucusu şu anda internette kullanıma açık ve BinaryEdge’e göre 630.000’den fazla, milyonlarca başka yönlendirici, VPN, akıllı telefon, tablet, bilgi-eğlence sistemi, modem, erişim noktası, drone ve üzerinden erişilemeyen benzeri cihazlarında erişime açık durumda olduğu tespit edilmiştir.
Ağ yöneticileri, yeni DNSpooq saldırılarını önlemek için son yayınlanan Dnsmasq güncellemelerinin yüklenmesi gerektiğini belirtti.
Kaynak: bleepingcomputer.com
