นักวิจัยพบช่องโหว่ในซอฟต์แวร์ Dnsmasq ซึ่งจะสามารถทำให้ผู้โจมตี Hijack DNS อุปกรณ์ได้นับล้านเครื่อง

JSOF บริษัทที่ปรึกษาด้านความปลอดภัยจากประเทศอิสราเอลได้เปิดเผยช่องโหว่ในซอฟต์แวร์สำหรับให้บริการ Network Service ที่ชื่อ Dnsmasq จำนวน 7 รายการ โดยนักวิจัยได้เรียกช่องโหว่นี้ว่า DNSpooq ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถทำการ DNS Cache Poisoning Attack, เรียกใช้โค้ดได้จากระยะไกลและรวมถึงการโจมตีแบบปฏิเสธการให้บริการ (DoS) กับอุปกรณ์ที่ได้รับผลกระทบหลายล้านเครื่อง

Dnsmasq เป็นซอฟต์แวร์ที่ให้บริการ Network Service อย่างเช่น DNS Server, DNS Forwarder, DNS caching, และ Dynamic Host Configuration Protocol (DHCP) และมีความเหมาะสมกับการใช้งานใน Internet-of-Things (IoT) และอุปกรณ์ embedded อื่นๆ

ช่องโหว่ DNSpooq สามช่องโหว่ซึ่งมีลักษณะ DNS Cache Poisoning Attack ถูกติดตามด้วยรหัส CVE-2020-25686, CVE-2020-25684 และ CVE-2020-25685 ช่องโหว่จะอนุญาตให้ผู้โจมตีสามารถเปลื่ยนแปลง DNS record ของอุปกรณ์ได้ โดยผู้โจมตีจะสามารถรีไดเร็คผู้ใช้ไปยังเซิร์ฟเวอร์ที่เป็นอันตรายของผู้ประสงค์ร้ายในขณะที่ผู้ใช้เยี่ยมชมเว็บไซต์อยู่และจะสามารถทำการโจมตีแบบฟิชชิง, ขโมยข้อมูล Credential หรือทำการแพร่มัลแวร์ไปยังผู้ใช้ได้โดยไม่รู้ตัว

ส่วนช่องโหว่ที่เหลืออีกสี่รายการคือ CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 และ CVE-2020-25681 โดยช่องโหว่ทั้งสี่นี้จะเป็นช่องโหว่การเรียกใช้โค้ดได้จากระยะไกลบนอุปกรณ์ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดได้หาก Dnsmasq เปิดใช้ DNSSEC

JSOF ยังได้ระบุอีกว่าปัจจุบันเซิร์ฟเวอร์ Dnsmasq มากกว่า 1 ล้านเครื่องถูกเปิดเผยบนอินเทอร์เน็ตตามข้อมูลของ Shodan และมากกว่า 630,000 เครื่องตามข้อมูลของ BinaryEdge มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ดี JSOF ได้แนะนำให้ผู้ใช้ทำการอัปเดตซอฟต์แวร์ Dnsmasq ให้เป็นเวอร์ชันล่าสุดคือ 2.83 หรือใหม่กว่า เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer