http://thehackernews.com/2017/06/linux-buffer-overflow-code.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9445
"que podría permitir a los atacantes remotos disparar un desbordamiento de búfer"
¿Puede alguien definir "atacante remoto"? ¿Estamos hablando de un ataque de hombre en la red de la red local? ¿ISP malicioso? ¿Asesoramiento global (estado nación)? Todas las anteriores?
¿Y cómo podría esta CVE afectar a las conexiones VPN?
Como este CVE en particular requiere un servidor DNS malicioso, todos los vectores de ataque que detalla (MITM, ISP malicioso, etc.) son posibles vectores de ataque. Cualquier parte que pueda redirigir el tráfico de DNS a un servidor malintencionado (o comprometer el servidor que está utilizando actualmente) puede elaborar las respuestas detalladas en estos artículos.
Esto afecta a las VPN en el caso de que sus conexiones se estén resolviendo a un servidor DNS específico (comprometido / malicioso) que son, en teoría, vulnerables a este tipo de ataque. La configuración de la VPN determinaría en gran medida su vulnerabilidad, ya que algunas conexiones de la VPN pueden optar por anular el servidor DNS y no "heredarlo" del DHCP cuando inician sesión en la VPN. Dicho esto, el efecto en las conexiones VPN dependerá de la configuración.
Depende de cuándo esté involucrado systemd-resolution pero imaginemos el siguiente caso:
Te envío un correo electrónico con una imagen dentro de enlace . Su lector de correo local (Outlook, Thunderbird, etc.) probablemente cargará la imagen remota. Para obtener la imagen, tiene que obtener la dirección IP de myevilandswagsite.com, por lo que enviará una solicitud de DNS a mi malvado DNS. Mi DNS malvado responderá con una respuesta especialmente diseñada que explota el desbordamiento del búfer.
Por lo tanto, el atacante puede ser "remoto" sin ninguna restricción. Cada vez que puedo llevarte a resolver mi nombre de host DNS, puedo protegerte. Podemos imaginar que Google podría tomar el control total de muchas máquinas enviando una respuesta maliciosa a las consultas de DNS cada vez que alguien intente acceder a www.google.com
EDITAR: Creo que a otro viejo ataque generalizado. Debido a que las solicitudes de DNS están en UDP, puede intentar emitir muchas respuestas DNS con la fuente de IP de su elección (lo que sea, esto es UDP). Si su respuesta es anterior a la verdadera buena y es aceptada por el anfitrión que realiza la solicitud, la utilizará.
Entonces, ¿por qué no intentar enviar una respuesta de DNS para www.google.com en el nombre del verdadero DNS de Google y rezar para que sean aceptados? Para que sean aceptados, debe adivinar la buena secuencia de ID de UDP y la buena ID de consulta de DNS. Si recuerdo correctamente, esto tiene 65535 * 65535 posibilidades pero "hey, aún mejor que la lotería"
Tal vez esto te ayude a juzgar el riesgo.
"Teniendo en cuenta lo bien confinado que se ejecuta el servicio (se reduce a un usuario normal, no tiene dispositivos reales en / dev, sistema de archivos de solo lectura, vacío / home, filtrado de syscall y todos los demás recursos): Dudo que esto es una gran amenaza en la naturaleza ".
Lea otras preguntas en las etiquetas dns configuration internet dns-spoofing dnssec
