Google trouve 7 failles de sécurité dans les logiciels réseau Dnsmasq largement utilisés

Les chercheurs en sécurité ont découvert non pas un ou deux, mais un total de sept vulnérabilités de sécurité dans le populaire logiciel opensource de services réseau Dnsmasq, dont trois pourraient permettre l’exécution de code à distance sur un système vulnérable et le détourner.

Dnsmasq est un outil d’application réseau léger et largement utilisé, conçu pour fournir des services de redirection DNS (Domain Name System), de serveur DHCP (Dynamic Host Configuration Protocol), de routeur publicitaire et de démarrage réseau pour les petits réseaux.

Dnsmasq est préinstallé sur divers périphériques et systèmes d’exploitation, y compris les distributions Linux telles que Ubuntu et Debian, les routeurs domestiques, les smartphones et les périphériques Internet of Things (IoT). Un scan de shodan pour « Dnsmasq » révèle environ 1,1 million d’instances dans le monde.

Récemment, l’équipe de sécurité de Google a passé en revue Dnsmasq et découvert sept problèmes de sécurité, dont l’exécution du code distant lié au DNS, la divulgation d’informations et les problèmes de déni de service (DoS) qui peuvent être déclenchés via DNS ou DHCP.

« Nous avons découvert sept problèmes distincts (énumérés ci-dessous) au cours de nos évaluations régulières de la sécurité interne », a écrit l’équipe de sécurité de Google dans un billet de blog publié. « Une fois que nous avons déterminé la gravité de ces problèmes, nous avons étudié leur impact et leur exploitabilité, puis nous avons produit des preuves internes de concept pour chacun d’entre eux. Nous avons également travaillé avec le mainteneur de Dnsmasq, Simon Kelley, pour produire des correctifs appropriés et atténuer le problème. »

Depuis que les vulnérabilités ont été corrigées par Simon Kelley, développeur et mainteneur de Dnsmasq, les chercheurs de Google ont publié des détails et du code d’exploitation de preuve de concept (PoC) pour chacune des vulnérabilités.

Sur les sept vulnérabilités découvertes par l’équipe, trois peuvent être exploitées pour exécuter du code à distance, trois peuvent être utilisées dans des attaques de déni de service et une faille de fuite d’information.

Voici la liste de toutes les vulnérabilités:

  • CVE-2017-14497: Autre question de DoS dans laquelle une grande requête DNS peut planter le logiciel.
  • CVE-2017-14495: Une faille dans Dnsmasq qui peut être exploitée pour lancer une attaque de déni de service (DoS) en épuisant la mémoire via DNS. Le défaut n’affecte dnsmasq que si une de ces options est utilisée: –add-mac, –add-cpe-id ou –add-subnet.
  • CVE-2017-14492: Une autre vulnérabilité d’exécution de code distant due à un problème de débordement de tas basé sur DHCP.
  • CVE-2017-14493:  Autre bogue notable dans l’exécution du code distant basé sur DHCP causé par un débordement de la pile. Selon Google, ce défaut est trivial à exploiter s’il est utilisé conjointement avec le défaut (CVE-2017-14494) mentionné ci-dessous.
  • CVE-2017-14491: La vulnérabilité de l’exécution du code distant basée sur DNS dans les versions de Dnsmasq antérieures à 2.76 est marquée comme la plus sévère qui permet des débordements de tas illimités, affectant à la fois les configurations de réseau directement exposées et internes.
  • Le système d’exploitation Android de CVE-2017-14496: Google est spécifiquement affecté par ce problème DoS qui peut être exploité par un hacker local ou celui qui est connecté directement à l’appareil. Toutefois, Google a fait remarquer que le service lui-même est sandboxed, de sorte que le risque pour les utilisateurs Android est réduit.
  • CVE-2017-14494: Une fuite d’information dans DHCP qui peut être combinée avec CVE-2017-14493 pour permettre aux attaquants de contourner le mécanisme de sécurité ASLR et d’exécuter du code arbitraire sur un système cible.

 

Comme tous les problèmes ont déjà été résolus avec la sortie de Dnsmasq 2.78, il est conseillé aux utilisateurs de Dnsmasq de mettre à jour leurs installations dès que possible.

Pour patcher vos périphériques, assurez-vous de mettre à niveau les paquets sur votre système. Google a mis à jour ses services affectés et publié les correctifs de sécurité pour les partenaires Android le 5 Septembre 2017 dans les mises à jour de sécurité Android Octobre de Google.

D’autres services Google concernés sont également mis à jour. Les versions 1.5.8,1.6.11,1.7.7 et 1.8.0 de Kubernetes ont également été mises à jour avec un Dnsmasq patché.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *