Cảnh báo nhóm 7 lỗ hổng trong phần mềm mã nguồn mở DNSmasq

02:51 PM 06/10/2017

1. Thông tin chung

- Mức độ: Nghiêm trọng

- Mã lỗi quốc tế: CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14494, CVE-2017-14495, CVE-2017-14496, CVE-2017-13704.

- Ảnh hưởng: Các thiết bị cài đặt Dnsmasq phiên bản 2.77 và phiên bản trước đó (Linux, Android, IoT)

Dnsmasq là một ứng dụng mã nguồn mở có các chức năng như: phân giải tên miền (DNS), truyền file (TFTP) và cấp phát địa chỉ IP tự động (DHCP). Nó được thiết kế để cung cấp dịch vụ DNS và dịch vụ DHCP cho mạng.

Phần mềm mã nguồn mở Dnsmasq cung cấp dịch vụ DNS và DHCP

Ngày 02 tháng 10 năm 2017, nhóm các chuyên gia bảo mật của Google đã công bố một nhóm gồm 07 lỗ hổng bảo mật trong phần mềm nguồn mở Dnsmasq (trong đó: 03 lỗ hổng cho phép đối tượng tấn công thực thi mã lệnh từ xa, 01 lỗ hổng để lộ thông tin, 03 lỗ hổng cho phép thực hiện tấn công từ chối dịch vụ) bằng cách gửi các gói tin yêu cầu truy vấn của giao thức DNS/DHCP tới thiết bị có cài đặt phần mềm.

Dnsmasq được cài đặt trên các máy tính sử dụng hệ điều hành Linux, thiết bị Home router, và cả thiết bị IoT để cung cấp chức năng phục vụ yêu cầu DNS, DHCP, quảng bá bộ định tuyến và khởi tạo mạng nên số lượng các thiết bị tại Việt Nam bị ảnh hưởng có thể là tương đối lớn. Hơn nữa nhiều thiết bị không chỉ sử dụng trong môi trường mạng LAN mà sử dụng cả trên Internet, nên đối tượng tấn công hoàn toàn có thể tìm kiếm các thiết bị và khai thác lỗ hổng mà không gặp khó khăn gì.

Hiện tại một số hãng sử dụng Dnsmasq trên các sản phẩm cũng đã xác nhận và đưa ra bản vá cho sản phẩm gồm: Google (Android), Slackware, Redhat, Debian… Người dùng và các quản trị viên có thể cập nhật bản vá cho thiết bị bị ảnh hưởng đã có bản vá.

2. Khuyến nghị

Nhằm bảo đảm an toàn thông tin và phòng tránh việc đối tượng tấn công lợi dụng lỗ hổng để thực hiện những cuộc tấn công mạng nguy hiểm, Cục ATTT khuyến nghị các quản trị viên tại các cơ quan, đơn vị và người dùng thực hiện:

- Kiểm tra và cập nhật bản vá cho các thiết bị ảnh hưởng. Có thể cập nhật trực tiếp từ gói phần mềm Dnsmasq hoặc theo sản phẩm của từng hãng. Khuyến cáo bật chức năng tự động cập nhật bản vá trên các thiết bị để đồng thời cập nhật các lỗ hổng khác ngay khi có bản vá đối với các lỗ hổng khác.

- Đối với các thiết bị chưa có thông tin về bản vá cần ngăn chặn và hạn chế tối đa việc truy cập từ Internet qua các cổng dịch vụ không cần thiết, đặc biệt các chức năng, cổng dịch vụ mà Dnsmasq cung cấp như: DNS (cổng mặc định 53), DHCP (cổng mặc định 67, 68, 1067, 1068), TFTP (cổng mặc định 69).

- Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm đối phó kịp thời với các nguy cơ tấn công mạng.

3. Một số thông tin về bản vá cho các thiết bị

- Phần mềm Dnsmasq:

          http://www.thekelleys.org.uk/dnsmasq/CHANGELOG

          http://www.thekelleys.org.uk/dnsmasq/

- Android:

          https://source.android.com/security/bulletin/2017-10-01

- Linux:

          http://www.slackware.com/security/viewer.php?l=slackware-security&y=2017&m=slackware-security.601472

          https://access.redhat.com/security/vulnerabilities/3199382

          https://www.debian.org/security/2017/dsa-3989

          http://www.ubuntu.com/usn/usn-3430-1

          http://www.ubuntu.com/usn/usn-3430-2

          https://lists.centos.org/pipermail/centos-announce/2017-October/022555.html

          https://www.suse.com/security/cve/CVE-2017-13704/

4. Tham khảo

https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html

http://www.securityfocus.com/bid/101085/info

Vui lòng nhập email của bạn để đăng ký nhận cảnh báo an toàn thông tin từ Cục An toàn thông tin.