Dnsmasq es un servidor DNS/DHCP ampliamente utilizado en entornos Linux y sistemas operativos tipo Unix en general. Sus puntos fuertes incluyen la capacidad de gestionar hasta 1.000 clientes, ser una herramienta "ligera" (ocupa una pequeña cantidad de recursos) y soporte IPv6.

Es un software que se puede configurar no sólo en las distintas distribuciones de Linux, también es utilizado por defecto en docenas de dispositivos (por ejemplo, routers y conmutadores, IoT y productos "incrustados") de diferentes fabricantes.

Una empresa israelí de ciberseguridad, JSOF, ha publicado 7 vulnerabilidades descubiertas en Dnsmasq: han sido bautizados como DNSpooq.

Las brechas de seguridad recién descubiertas se pueden utilizar para iniciar ataques de envenenamiento de DNS, ejecutar código de forma remota y lanzar ataques DoS en millones de dispositivos vulnerables.

DNS Cache Poisoning es un método de ataque que permite a los atacantes reemplazar los registros DNS legítimos almacenados en un dispositivo con la información que elijan. Con esto se consigue redirigir a los usuarios a servidores bajo el control de los ciberdelincuentes, mientras los usuarios pensarán que están accediendo al sitio correcto.

Este es un ataque particularmente peligroso porque permite lanzar ataques de phishing, facilita el robo de credenciales de inicio de sesión y la distribución de malware a través de páginas web que los usuarios perciben como legítimos.

Los ingenieros de JSOF explican que mediante el uso de vulnerabilidades Dnsmasq un atacante puede modificar varios tipos de datos: correo electrónico, SSH, escritorio remoto, videoconferencia, llamadas de voz, actualizaciones de software, etc. El ataque también se puede completar con éxito en segundos o minutos sin ningún requisito especial.

Al hacer una simple búsqueda con el motor Shodan (Shodan, es un buscador que encontra webcams, routers, NAS y otros dispositivos remotos) resulta que más de un millón de dispositivos que hacen uso de Dnsmasq están actualmente expuestos en Internet.

Cómo solucionar problemas de seguridad con Dnsmasq

Para evitar cualquier riesgo, el consejo de JSOF es actualizar Dnsmasq para la versión 2.83 o posterior. En el caso de que no se pueda realizar la actualización, se aconseja:

  • Configura Dnsmasq para no escuchar las solicitudes de conexión en la interfaz WAN.
  • Reduce el número máximo de consultas que se pueden reenviar mediante la opción --dns-forward-max. El valor predeterminado es 150, pero puede tener sentido reducirlo.
  • Deshabilita temporalmente DNSSEC hasta que puedas aplicar el parche.
  • Usa protocolos como DoH o DoT que cifran las solicitudes de resolución de DNS.
  • Reduce el tamaño máximo de los mensajes EDNS como medida temporal.
Fuente: DNSpooq - Kaminsky attack is back!