Vulnérabilités Dnsmasq
Résumé.
Le 2 octobre 2017, le logiciel Dnsmasq a fait l'objet d'une mise à jour corrigeant sept vulnérabilités (cf. section Documentation). Celles-ci ont été découvertes par l'équipe de sécurité de Google qui a publié un billet de blogue détaillant les vulnérabilités une fois le correctif publié (cf. section Documentation). Pour rappel, Dnsmaq est un programme gérant plusieurs services réseau : dns, dhcp, annonces de routeur (Router Advertisement) et démarrage sur le réseau.Dnsmasq est installé par défaut dans la plupart des distributions Linux, sur Android, BSD et MacOS. On peut le trouver dans de nombreux routeurs et autres objets connectés.
Impact
Sur les sept vulnérabilités, trois sont de type exécution de code à distance, une permet une fuite d'information et trois conduisent à un déni de service.CVE-2017-14491 :
Il s'agit d'un débordement de tampon sur le tas, potentiellement de deux octets. A noter que sur les versions 2.76 et antérieures, la taille du débordement n'est pas limité.Afin de pouvoir exploiter cette vulnérabilité, un attaquant doit contrôler un serveur DNS en amont, ou tout du moins être capable de modifier la réponse en rajoutant la charge malveillante. Cela peut nécessiter d'avoir réalisé préalablement des attaques afin de modifier les réglages DNS des équipements périphériques. Un autre vecteur d'attaque peut être de forcer l'utilisateur à se rendre sur un site contrôlé par l'attaquant pour lui faire réaliser une requête résolvable uniquement par un serveur DNS compromis.
CVE-2017-14492 :
Il s'agit également d'un débordement de tampon sur le tas qui est causée une annonce de routeur (Router Advertisement) malveillante. Si cette vulnérabilité est sérieuse, elle n'impacte cependant que les réseaux IPv6 et nécessite que l'attaquant soit déjà présent sur le réseau interne.CVE-2017-14493 :
La vulnérabilité CVE-2017-14493 est un débordement de tampon sur la pile suite à une requête DHCPv6 mal formée. Google indique qu'elle est triviale à exploiter, surtout lorsqu'elle est couplée à la vulnérabilité CVE-2017-14494 qui permet un contournement de la mesure de sécurité de disposition stochastique de l’espace d’adressage mémoire (ASLR, Address Space Layout Randomization). Cette vulnérabilité impacte elle aussi les réseaux en IPv6.Compte tenu du protocole utilisé (le DHCP), cette vulnérabilité sera plutôt utilisée par les attaquants pour pivoter une fois qu'une tête de pont aura été établie dans l'intranet de la victime. Le CERT-FR rappelle par ailleurs qu'accepter des requêtes DHCP externes est une mauvaise pratique.
Conclusion
Ces vulnérabilités sont sérieuses et soulignent l'importance d'appliquer les mises à jour de sécurité des éditeurs sur son système d'information. Pour les distributions qui ne recevront pas de mises à jour, notamment pour certains routeurs et objets connectés, quelques bonnes pratiques peuvent diminuer la surface d'attaque: segmenter les sous-réseaux, filtrer le trafic vers les machines vulnérables acceptant uniquement les communications de machines de confiance et désactiver les services qui ne sont pas essentiels.Documentation
- Avis CERT-FR CERTFR-2017-AVI-329 /blackoasisavis/CERTFR-2017-AVI-329/
- Bulletin de sécurité Dnsmasq du 2 octobre 2017 http://www.thekelleys.org.uk/dnsmasq/CHANGELOG
- Billet de blogue Google https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html
- Billet de blogue Trend Micro http://blog.trendmicro.com/trendlabs-security-intelligence/dnsmasq-reality-check-remediation-practices/