0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: linux, dns resolver, уязвимость, nsec</p>
1
<p>Теги: linux, dns resolver, уязвимость, nsec</p>
2
<p>Дыра в DNS-преобразователе (DNS Resolver) способна привести к отказу в обслуживании Linux (denial-of-service). Давайте рассмотрим эту уязвимость подробнее.</p>
2
<p>Дыра в DNS-преобразователе (DNS Resolver) способна привести к отказу в обслуживании Linux (denial-of-service). Давайте рассмотрим эту уязвимость подробнее.</p>
3
<p>Уязвимость DNS Resolver была обнаружена в 2017 году в systemd и получила идентификатор CVE-2017-15908.<a>Исследователи</a>, нашедшие брешь, сразу сообщили соответствующим вендорам. Своевременная реакция позволила предотвратить широкое распространение атаки, а множество Linux-дистрибутивов получило патчи.</p>
3
<p>Уязвимость DNS Resolver была обнаружена в 2017 году в systemd и получила идентификатор CVE-2017-15908.<a>Исследователи</a>, нашедшие брешь, сразу сообщили соответствующим вендорам. Своевременная реакция позволила предотвратить широкое распространение атаки, а множество Linux-дистрибутивов получило патчи.</p>
4
<p>Но даже сейчас, спустя несколько лет, анализ уязвимости вызывает интерес со стороны всех, кто интересуется Linux-безопасностью.</p>
4
<p>Но даже сейчас, спустя несколько лет, анализ уязвимости вызывает интерес со стороны всех, кто интересуется Linux-безопасностью.</p>
5
<h2>Суть проблемы</h2>
5
<h2>Суть проблемы</h2>
6
<p>Уязвимую систему заставляют отправлять на DNS-сервер злоумышленников DNS-запрос. Далее возвращается специально обработанный запрос, который, в свою очередь, заставляет systemd запускать бесконечный цикл, нагружающий центральный процессор системы до 100 %.</p>
6
<p>Уязвимую систему заставляют отправлять на DNS-сервер злоумышленников DNS-запрос. Далее возвращается специально обработанный запрос, который, в свою очередь, заставляет systemd запускать бесконечный цикл, нагружающий центральный процессор системы до 100 %.</p>
7
<p>На самом деле, заставить машину пользователя отправить запрос на контролируемый DNS-сервер относительно несложно, причём для этого существует много способов. Один из них - заманить пользователя на скомпрометированную web-страницу. Добиться этого можно посредством той же социальной инженерии.</p>
7
<p>На самом деле, заставить машину пользователя отправить запрос на контролируемый DNS-сервер относительно несложно, причём для этого существует много способов. Один из них - заманить пользователя на скомпрометированную web-страницу. Добиться этого можно посредством той же социальной инженерии.</p>
8
<p>Как известно, за время существования DNS в эту систему было добавлено множество функций, которые повышают безопасность. Но иногда, пытаясь сделать что-то лучше и безопаснее, мы сами создаём условия для возникновения проблемы. Например, одним из новых типов записей ресурсов, который добавили в DNS Security Extensions (DNSSEC), стал<strong>NSEC</strong>(Next Secure). Найденная уязвимость как раз и относится к NSEC, т. к. она заключалась в обработке битов, которые представляют псевдотипы в битовой карте NSEC.</p>
8
<p>Как известно, за время существования DNS в эту систему было добавлено множество функций, которые повышают безопасность. Но иногда, пытаясь сделать что-то лучше и безопаснее, мы сами создаём условия для возникновения проблемы. Например, одним из новых типов записей ресурсов, который добавили в DNS Security Extensions (DNSSEC), стал<strong>NSEC</strong>(Next Secure). Найденная уязвимость как раз и относится к NSEC, т. к. она заключалась в обработке битов, которые представляют псевдотипы в битовой карте NSEC.</p>
9
<p>Посмотрим на рисунок ниже - там изображены стековый кадр и раздел кода. В стековом кадре выделенная строка continue показывает, где конкретно while переходит в бесконечный цикл. При этом реализация dns_packet_read_type_window() находится в файле resolve-dns-packet.c.</p>
9
<p>Посмотрим на рисунок ниже - там изображены стековый кадр и раздел кода. В стековом кадре выделенная строка continue показывает, где конкретно while переходит в бесконечный цикл. При этом реализация dns_packet_read_type_window() находится в файле resolve-dns-packet.c.</p>
10
<p>Следует заметить, что вышеуказанная функция dns_packet_read_type_window() вызывается лишь из dns_packet_read_rr(), когда типом записи является DNS_TYPE_NSEC. На следующем рисунке показан раздел кода dns_packet_read_rr() в файле resolved-dns-packet.c.</p>
10
<p>Следует заметить, что вышеуказанная функция dns_packet_read_type_window() вызывается лишь из dns_packet_read_rr(), когда типом записи является DNS_TYPE_NSEC. На следующем рисунке показан раздел кода dns_packet_read_rr() в файле resolved-dns-packet.c.</p>
11
<h2>Proof-of-concept</h2>
11
<h2>Proof-of-concept</h2>
12
<p>Для тестирования уязвимости исследователи создали специальный DNS-сервер, который отправлял злонамеренно сформированные ответы. Каждый из отчётов содержал NSEC-запись, которая предназначалась для запуска уязвимости:</p>
12
<p>Для тестирования уязвимости исследователи создали специальный DNS-сервер, который отправлял злонамеренно сформированные ответы. Каждый из отчётов содержал NSEC-запись, которая предназначалась для запуска уязвимости:</p>
13
<p>Как только Linux-система, использующая systemd для преобразования DNS, получает специально созданный пакет, загрузка центрального процессора достигает 100 %:</p>
13
<p>Как только Linux-система, использующая systemd для преобразования DNS, получает специально созданный пакет, загрузка центрального процессора достигает 100 %:</p>
14
<p><em>Источник - "<a>systemd Vulnerability Leads to Denial of Service on Linux</a>".</em></p>
14
<p><em>Источник - "<a>systemd Vulnerability Leads to Denial of Service on Linux</a>".</em></p>
15
15