Recent, specialiștii în securitate cibernetică au identificat două vulnerabilități semnificative în BIND și Unbound, cele mai utilizate software-uri pentru rezolvarea numelor de domenii pe Internet. Aceste vulnerabilități permit atacatorilor să manipuleze rezultatele cache-urilor și să direcționeze utilizatorii către destinații malițioase, greu de diferențiat de cele autentice.
Vulnerabilitățile, codificate ca CVE-2025-40778 și CVE-2025-40780, sunt cauzate de o eroare de logică și o slăbiciune în generarea numerelor pseudo-aleatoare, respectiv. Fiecare dintre acestea a primit un rating de severitate de 8.6. În paralel, creatorii software-ului de rezolvare a sistemului de nume de domenii Unbound au avertizat asupra unor vulnerabilități similare, raportate de aceiași cercetători, cu un scor de severitate de 5.6.
Exploatarea acestor vulnerabilități poate determina resolutoarele DNS din mii de organizații să înlocuiască rezultatele valide ale căutărilor de domenii cu altele corupte. Rezultatele corupte ar înlocui adresele IP controlate de operatorul numelui de domeniu (de exemplu, 3.15.119.63 pentru arstechnica.com) cu unele malițioase controlate de atacator. Patch-urile pentru toate cele trei vulnerabilități au fost disponibile începând de miercuri.
În 2008, cercetătorul Dan Kaminsky a dezvăluit una dintre cele mai severe amenințări la adresa securității pe Internet, cunoscută sub numele de otrăvire a cache-ului DNS. Aceasta permitea atacatorilor să direcționeze utilizatorii, în masă, către site-uri impostor în locul celor reale, cum ar fi Google, Bank of America sau alte entități. Cu coordonare la nivelul întregii industrii, mii de furnizori DNS din întreaga lume, în colaborare cu creatorii de browsere și alte aplicații client, au implementat o soluție care a evitat acest scenariu apocaliptic.
Vulnerabilitatea a fost rezultatul utilizării pachetelor UDP de către DNS. Fiind trimise într-o singură direcție, nu exista nicio modalitate pentru resolutoarele DNS de a folosi parole sau alte forme de acreditări atunci când comunicau cu „serverele autoritative”, adică acelea care au fost desemnate oficial să ofere căutări IP pentru un domeniu de nivel superior, cum ar fi .com. Mai mult, traficul UDP este în general ușor de falsificat, ceea ce înseamnă că este simplu să se trimită pachete UDP care par să provină din altă sursă decât cea reală.
Pentru a asigura că resolutoarele acceptă rezultate doar de la serverele autoritative și pentru a bloca orice rezultate otrăvite care ar putea fi trimise de servere neautorizate, resolutoarele atașau un număr de 16 biți fiecărei solicitări. Rezultatele de la server erau respinse dacă nu includeau același ID.
Kaminsky a realizat că existau doar 65.536 de ID-uri de tranzacție posibile. Un atacator putea exploata această limitare inundând un resolver DNS cu rezultate de căutare pentru un domeniu specific. Fiecare rezultat ar utiliza o ușoară variație a numelui de domeniu, cum ar fi 1.arstechnica.com, 2.arstechnica.com, 3.arstechnica.com, și așa mai departe. Fiecare rezultat ar include, de asemenea, un ID de tranzacție diferit. În cele din urmă, un atacator ar reproduce numărul corect al unei solicitări în așteptare, iar IP-ul malițios ar fi transmis tuturor utilizatorilor care se bazează pe acest resolver.
Poll: Care este nivelul de conștientizare în rândul utilizatorilor de internet cu privire la amenințările la adresa securității cibernetice, cum ar fi vulnerabilitățile recent descoperite în software-urile pentru rezolvarea numelor de domenii BIND și Unbound?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply