Dnsmasq: Ein Realitätscheck und Gegenmaßnahmen

Originalbeitrag von Federico Maggi, Senior Threat Researcher

Dnsmasq ist das De-facto Standardtool für DNS/DHCP-Konfigurationen von kleinen Servern und eingebetteten Geräten. Kürzlich entdeckten Google Sicherheitsforscher sieben Sicherheitslücken in Dnsmasq 2.78 und früheren Versionen, über die Angreifer aus der Ferne Code ausführen, Informationen von den Servern auslesen und Geräte zum Absturz bringen können, wenn bestimmte Optionen konfiguriert sind. Trend Micro-Forscher stellten aufgrund von Daten von Censys und Shodan fest, dass etwa eine Million öffentlich zugängliche Hosts mit einer Linux-Distribution laufen, die wahrscheinlich Dnsmasq und einen DNS Service (Port 53) im öffentlichen Internet enthalten. All diese sind möglicherweise über diese Sicherheitslücken angreifbar.

Das Flussdiagramm dient dazu festzustellen, ob ein eingebettetes System angreifbar ist:


Bild 1. Prüfen, ob die eigene Dnsmasq-Installation potenziell angreifbar ist; mögliche Lösungen (Vergößern durch Anklicken)

Die entdeckten Dnsmasq-Sicherheitslücken

Dnsmasq wurde 2001 veröffentlicht und ist zum wichtigen Teil von Routern und IoT-Gateways geworden, weil das Tool die zwei für ein Netzwerk wichtigsten Funktionen bereitstellt: DHCP und DNS. Aufgrund seiner Flexibilität und des leichtgewichtigen Footprints ist es Teil der klassischen eingebetteten Linux-Software geworden, die üblicherweise BusyBox und DropBear einschließt.

Am 24./25. September veröffentlichte Simon Kelley, der Entwickler von Dnsmasq, sieben Fixes im Git Repository für die sieben Sicherheitslücken, die Google-Forscher entdeckt hatten. Die Versionen vor 2.76 enthalten eine noch ernstere Variante dieser Lücken, die Remote Angreifern die uneingeschränkte Ausführung von Code ermöglichen.

Die Trend Micro-Untersuchung schließt CVE-2017-13704 nicht mit ein.

Wer ist von diesen Sicherheitslücken betroffen?

Dnsmasq wird in einer Vielzahl von Netzwerk-Hosts genutzt, von Mobilgeräten, Laptops und kleinen Servern bis zu IoT-Gateways und Home-Routern mit angepasster oder vom Anbieter gelieferter Firmware. Daher liegt es im Ermessen der Entwickler ein Update zu veröffentlichen. Auch gehört das Patchen eines eingebetteten Systems wie Router nicht gerade zu den einfachen, risikolosen Aufgaben. Das aber bedeutet, dass viele Embedded Systeme wahrscheinlich eine der angreifbaren Versionen von Dnsmasq ausführen.

Die Forscher von Trend Micro haben drei Linux-Distributionen ausgesucht, um die Verbreitung der Lücken zu schätzen: OpenWrt, DD-WRT und Tomato Firmware. Einzelheiten dazu und auch zu den Bedingungen, unter denen die Lücken auszunutzen sind, liefert der Originalbeitrag.

Sichern des eigenen Geräts?

Die Abbildung 1 zeigt einige mögliche Gegenmaßnahmen:

  • Bietet die eigene Distribution ein Upgrade-Paket auf Dnsmasq 2.78, so sollte dieses den Anleitungen folgend aufgespielt werden.
  • Ohne Upgrade muss Dnsmasq vom Source Code aus gebildet werden (entweder von 2.78 Release oder dem offiziellen Git Repository).
  • Das schlimmste Szenario tritt ein, wenn es sich um eine angepasste Version von Dnsmasq handelt, denn dann muss ein Patch vorhanden sein, um dem Source Code zu entsprechen.

Doch unabhängig davon, ob einer der beschriebenen Fixes angewendet werden kann, ist es empfehlenswert, Best Practices für grundlegende Netzwerksicherheit zu befolgen, vor allem wenn eine angreifbare Dnsmasq-Version unausweichbar ist. Folgende Empfehlungen können das Risiko einer erfolgreichen Ausnutzung der Lücken reduzieren:

  • Abschalten der betroffenen Dnsmasq-Optionen, falls sie nicht genutzt werden.
  • Whitelisting der Hosts, die mit dem Dnsmasq-Service interagieren, um die Akteure (nicht vertrauenswürdig), die Netzwerkpakete an das anvisierte Gerät schicken können, einzuschränken.
  • Nutzung eines vertrauenswürdigen Upstream DNS-Servers. In kleinen Settings werden die Upstream DNS-Server typischerweise vom ISP dynamisch zugewiesen. Das bedeutet, solange der ISP vertrauenswürdig ist, kann man den Servern auch trauen. Doch falls ein Angreifer es schafft, zwischen die Dnsmasq-Installation (etwa im Router) und den gutartigen, vom ISP-zugewiesenen Upstream DNS-Server zu kommen, kann er die Upstream-Abfragen mitschneiden und einen CVE-2017-14491-Exploit in die Antworten einschleusen.
  • Wer Dnsmasq in einem Router betreibt, sollte die Gegenmaßnahmen ergreifen, die im Trend Micro-Artikel zur (Home) Routersicherheit beschrieben werden.
  • Trifft keiner dieser Schritte zu, so sollte der Verantwortliche sich darauf konzentrieren, Versuche der Ausnutzung der Sicherheitslücken zu entdecken. Das bedeutet üblicherweise, dass geeignete IPS-Signaturen vorhanden sind.

Lösungen von Trend Micro

Zum Schutz vor IoT-Schadsoftware und ähnlichen Bedrohungen kann Trend Micro™ Smart Home Network*-Lösungen Schutzfunktionen für das Web und Deep Packet Inspection liefern, um Versuche der Ausnutzung der Schwachstellen zu entdecken.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*