A Kaminsky-támadás visszatérő árnyéka
A hibák kihasználásával a támadók szervezetek ezreiben tudják a DNS-megoldók által visszaadott címeket manipulálni. A helyes IP-címek helyett így akár teljes oldalakat irányíthatnak át támadó szerverekre. Bár már elérhetőek a javítások, a mostani sebezhetőségek arra emlékeztetnek, amikor 2008-ban Dan Kaminsky rámutatott: az internet DNS-rendszere masszívan sérülékeny az úgynevezett cache poisoning támadással szemben. A DNS protokoll alapjai – köztük a csak egyirányú UDP adatforgalom és a hitelesítés hiánya – akkor lehetővé tették, hogy támadók tömegesen irányítsanak át felhasználókat hamis weboldalakra. Ezzel szemben az iparág gyorsan reagált: a válaszok elfogadását jelentősen megbonyolították, így a támadások kivitelezése gyakorlatilag lehetetlenné vált.
Hogyan működik a DNS-cache poisoning?
A DNS-megoldók adott domainhez egy 16 bites azonosítót tárolnak, amit a válaszként kapott IP-cím beazonosítására használnak. Kaminsky rájött: egy támadó különböző kérésváltozatokat ismételgetve előbb-utóbb eltalálja azt a kombinációt, amelyet a rendszer helyesnek fogad el – így a rosszindulatú IP-cím bekerül az előtárolt válaszok közé. Erre válaszul az egész rendszer komplexebb hitelesítési mechanizmusokat vezetett be: a válaszokat már véletlenszerűen kiválasztott portokon is ellenőrzik, így a lehetséges kombinációk száma milliárdokra nőtt.
Különösen fontos kiemelni, hogy a védelem újra meggyengülhet
Az egyik friss BIND-hiba, a CVE-2025-40780, egy hibás véletlenszám-generátor miatt teszi kiszámíthatóvá a port- és lekérdezés-azonosítók kiosztását, így ismét lehetőséget ad a cache poisoning támadásokra. Egy másik hiba, a CVE-2025-40778, engedékenyebben fogadja el a DNS-válaszok bizonyos részeit, így szintén hamis adatok juthatnak be az előtárolásba.
A fennmaradó védelmi vonalak és javítások fontossága
Bár a mostani hibák valós fenyegetést jelenthetnek, a kár kockázata jóval kisebb, mint 2008-ban. Ennek oka, hogy a hitelesítő DNS-szerverek maguk nem sérülékenyek, emellett működik a DNSSEC-alapú hitelesítés is, amely digitális aláírást követel a rekordokra. További védelmet nyújt a forgalomszabályozás és a szervertűzfalak alkalmazása. A Red Hat hangsúlyozza: a támadás kivitelezése nehéz, időzítése pontos kell legyen, és csak a válaszelőtárolást érinti, ezért fontos, hogy minden szervezet a lehető leghamarabb telepítse a javításokat.
A fentiek tükrében a rendszeres frissítés és a védelmi intézkedések betartása továbbra is nélkülözhetetlen marad az internet biztonsága szempontjából.
