Meldung

Mehrere Schwachstellen in dnsmasq entdeckt

Sicherheitsforscher haben sieben Schwachstellen in dnsmasq gefunden, einem beliebten Open-Source-DNS/DHCP-Server. Die sogenannten DNSpooq-Schwachstellen ermöglichen DNS Cache Poisoning sowie Remote-Code-Ausführung durch einen Pufferüberlauf. Betroffen seien mehr als 40 Unternehmen – neben Google auch Cisco und Redhat.
Die Schwachstellen in "dnsmasq" betreffen unter anderem Cisco-Router und Android-Telefone.
Die Liste der Hersteller, die dnsmasq verwenden, ist lang. Nach Recherchen von JSOF [1] gehören unter anderem Cisco, Android, Siemens und Comcast dazu. Je nachdem, wie diese dnsmasq einsetzen, können Geräte mehr oder weniger oder auch gar nicht betroffen sein. Die DNSpooq-Schwachstellen lassen sich in zwei Kategorien unterteilen: "DNS cache poisoning attacks" und "Buffer overflow vulnerabilities". Im erstgenannten Fall versuchen Angreifer, veränderte Einträge in den DNS-Cache von Nameservern einzuschleusen, um Opfer auf gefälschte Webseiten umzuleiten.

Über die Pufferüberlaufschwachstellen ist dem Bericht zufolge die Remote-Code-Ausführung auf einem entfernten Gerät möglich, wenn dnsmasq für die Verwendung von DNSSEC konfiguriert ist. Weiterhin können Heap-basierte Pufferüberläufe einen Denial-of-Service auslösen, wenn DNSSEC verwendet wird. Diese Schwachstellen stellen laut den Sicherheitsforschern für sich genommen nur ein begrenztes Risiko dar. In Kombination mit Cache Poisoning können sie jedoch zu stärkeren Angriffen führen.

Nach Angaben von JSOF bestehen zwar mehrere Workarounds, die unter [2] dokumentiert sind, die einzige vollständige Abhilfe sei jedoch, dnsmasq auf Version 2.83 [3] oder höher zu aktualisieren. Zu beachten ist, dass dnsmasq auch auf vielen Embedded- und IoT-Geräten zum Einsatz kommt, für die es keine regelmäßigen Sicherheitsupdates gibt. Auf der JSOF-Webseite [1] stehen allerdings einige Security-Advisories der betroffenen Hersteller zur Verfügung.
26.01.2021/jm

Tipps & Tools

Sicherheitslücken in VMware ESXi und vSphere Client [2.03.2021]

Kürzlich wurden drei Schwachstellen in VMware ESXi und vSphere Web-Client entdeckt. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 427 beziehungsweise Port 443 könnte die Sicherheitslücken nutzen, um Code auf dem vCenter-Server-Betriebssystem auszuführen oder Informationen durch eine POST-Anfrage abzugreifen. Es seien bereits Updates verfügbar, um die Schwachstellen in den betroffenen VMware-Produkten zu beheben. [mehr]

Cyberkriminelle setzen zunehmend auf Automatisierungstools [23.02.2021]

Sicherheitsexperten haben eine zweimonatige Datenstichprobe zu Angriffen auf Webanwendungen analysiert und dabei eine hohe Anzahl automatisierter Angriffe festgestellt. Fast 20 Prozent waren Fuzzing-Attacken, bei denen Automatisierung verwendet wird, um Schwachstellen zu finden und auszunutzen. Injection-Angriffe folgten mit etwa zwölf Prozent – hierfür gebrauchten Angreifer Tools wie sqlmap, um in die Anwendungen einzudringen. [mehr]

Fachartikel

Machine Learning in Web Application Firewalls [10.02.2021]

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen