Con la presente Yoroi desidera informarLa riguardo alla recente pubblicazione di una serie di importanti vulnerabilità all’interno della suite “dnsmasq”, tecnologia di riferimento per la realizzazione di servizi di rete di base come DNS/DHCP/routing estremamente diffusa all’interno di prodotti e soluzioni custom per reti di piccole dimensioni (e.g. OpenWRT), IoT, dispositivi mobile (tethering su Android) e sistemi cloud di nuova generazione (e.g. container Kubernetes, Apache Cloudstack, Openstack). Ad esempio, all’interno del panorama cyber-italiano risultano presenti un elevato numero di host principalmente legati ad utenze domestiche o small-business con servizi “dnsmasq” esposti al pubblico:

Figura 1. Esposizione dispositivi con servizi DNS “dnsmasq” (Fonte:ShodanHQ)

Le criticità individuate dai ricercatori Google evidenziano forti problematiche all’interno dei moduli DNS e DHCP di “dnsmasq”, i quali soffrono di lacune in grado di abilitare un attaccante di rete con visibilità sui sistemi vulnerabili a causare disservizi ed a ottenere esecuzione di codice arbitrario sui dispositivi vittima di attacco, in dettaglio:

• CVE-2017-14491, possibile esecuzione codice da remoto su modulo DNS
• CVE-2017-14492, possibile esecuzione codice da remoto su modulo DHCP
• CVE-2017-14493, possibile esecuzione codice da remoto su modulo DHCP
• CVE-2017-14494, estrazione di informazioni utili ad attacchi su modulo DHCP
• CVE-2017-14495, possibile disservizio (DoS) su modulo DNS
• CVE-2017-14496, possibile disservizio (DoS) su modulo DNS
• CVE-2017-13704, possibile disservizio (DoS) su modulo DNS

Il Manutentore ha confermato le problematiche rilasciando patch di sicurezza all'interno della versione 2.78  della suite "dnsmasq", la quale non risulta afflitta dalle criticità indicate. 

Vista la pubblicazione di dettagli tecnici, script utili alla replica delle vulnerabilità, potenziale diffusione e pervasività della tecnologia in oggetto, Yoroi consiglia di pianificare l’applicazione delle patch e degli aggiornamenti di sicurezza indicati dal Manutentore, verificare e limitare l’esposizione di eventuali servizi DNS/DHCP vulnerabili, monitorare la disponibilità di aggiornamenti software per dispositivi di rete e componenti delle infrastrutture Cloud con servizi della suite “dnsmasq” abilitati.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index