
Dnsmasq es un servidor DNS/DHCP ampliamente utilizado en entornos Linux y sistemas operativos tipo Unix en general. Sus puntos fuertes incluyen la capacidad de gestionar hasta 1.000 clientes, ser una herramienta "ligera" (ocupa una pequeña cantidad de recursos) y soporte IPv6.
Es un software que se puede configurar no sólo en las distintas distribuciones de Linux, también es utilizado por defecto en docenas de dispositivos (por ejemplo, routers y conmutadores, IoT y productos "incrustados") de diferentes fabricantes.
Una empresa israelí de ciberseguridad, JSOF, ha publicado 7 vulnerabilidades descubiertas en Dnsmasq: han sido bautizados como DNSpooq.
Las brechas de seguridad recién descubiertas se pueden utilizar para iniciar ataques de envenenamiento de DNS, ejecutar código de forma remota y lanzar ataques DoS en millones de dispositivos vulnerables.
DNS Cache Poisoning es un método de ataque que permite a los atacantes reemplazar los registros DNS legítimos almacenados en un dispositivo con la información que elijan. Con esto se consigue redirigir a los usuarios a servidores bajo el control de los ciberdelincuentes, mientras los usuarios pensarán que están accediendo al sitio correcto.
Este es un ataque particularmente peligroso porque permite lanzar ataques de phishing, facilita el robo de credenciales de inicio de sesión y la distribución de malware a través de páginas web que los usuarios perciben como legítimos.
Los ingenieros de JSOF explican que mediante el uso de vulnerabilidades Dnsmasq un atacante puede modificar varios tipos de datos: correo electrónico, SSH, escritorio remoto, videoconferencia, llamadas de voz, actualizaciones de software, etc. El ataque también se puede completar con éxito en segundos o minutos sin ningún requisito especial.
Al hacer una simple búsqueda con el motor Shodan (Shodan, es un buscador que encontra webcams, routers, NAS y otros dispositivos remotos) resulta que más de un millón de dispositivos que hacen uso de Dnsmasq están actualmente expuestos en Internet.
Para evitar cualquier riesgo, el consejo de JSOF es actualizar Dnsmasq para la versión 2.83 o posterior. En el caso de que no se pueda realizar la actualización, se aconseja:
--dns-forward-max
. El valor predeterminado es 150, pero puede tener sentido reducirlo.Fuente: DNSpooq - Kaminsky attack is back!