En anden dag, en anden opdagelse af sårbarheder. Et nyt ondsindet angreb, der udnyttede den måde, hvorpå DNS-rekursive resolvere fungerer, blev netop opdaget.
I detaljer, angrebet udnytter den måde, som resolverne fungerer, når de modtager NS-henvisningsrespons, der indeholder navneservere, men uden deres tilsvarende IP-adresser. I lægmandssprog, dette nye angreb, som er blevet kaldt NXNSAttack, påvirker rekursive DNS-servere og processen med DNS-delegering.
NXNSAttack: Hvordan virker det?
Først og fremmest, hvad er en rekursiv DNS-server? Det er et DNS-system, der sender DNS-forespørgsler opstrøms med det formål at løse og konvertere dem fra et domænenavn til en IP-adresse. Konverteringerne sker på autoritative DNS-servere, der indeholder en kopi af DNS-posten og autoriseret til at løse den. Der er, dog, en sikkerhedsmekanisme inden for DNS-protokollen, der giver autoritative DNS-servere mulighed for at delegere denne operation til alternative DNS-servere.
Det er her den nye NXNSAttack kommer på plads. Ifølge forskere ved Tel Aviv-universitetet og Det tværfaglige center i Herzliya, Israel, der er en måde at misbruge delegationsprocessen og implementere den i DDoS-angreb. Efter denne opdagelse, forskerne udførte en "ansvarlig koordineret offentliggørelsesprocedure", og frigav deres detaljerede rapport. Som et resultat af denne afsløring, en række DNS-softwareleverandører og tjenesteudbydere har vedtaget foranstaltninger for at beskytte mod de destruktive foranstaltninger fra NXNSAttack.
Ifølge rapporten:
NXNSAttack er en ny sårbarhed, der udnytter den måde, DNS-rekursive resolver fungerer på, når de modtager NS-henvisningsrespons, der indeholder navneservere, men uden deres tilsvarende IP-adresser (dvs., manglende limposter). Antallet af DNS-meddelelser, der udveksles i en typisk opløsningsproces, kan i praksis være meget højere end hvad der forventes i teorien, hovedsageligt på grund af en proaktiv opløsning af navneservers IP-adresser. Denne ineffektivitet bliver en flaskehals og kan bruges til at montere et ødelæggende angreb mod en eller begge eller begge sider, rekursive resolvere og autoritative servere.
Det er bemærkelsesværdigt, at NXNSAttack ser ud til at være mere effektiv end NXDomain-angrebet på grund af to grunde. Første, angrebet når en forstærkningsfaktor på mere end 1620x på antallet af pakker, der udveksles med den rekursive resolver. og for det andet, udover den negative cache, angrebet mætter også “NS” -opløsningscachen.
Forskerne har arbejdet utrætteligt i måneder med flere leverandører af DNS-software, netværk til levering af indhold, og administrerede DNS-udbydere til at anvende afbrydelser på DNS-servere på verdensplan.
Hvilken software påvirkes af NXNSAttack?
Sårbarhederne findes i ISC BIND, kendt som CVE-2020-8616); NLnet-labs Ubundet, kendt som CVE-2020-12662; PowerDNS, kendt som CVE-2020-10995, og CZ.NIC Knot Resolver, eller CVE-2020-12667. Men, kommercielle DNS-tjenester fra Cloudflare, Google, Amazon, Oracle (MAND), Microsoft, IBM Quad9, ICANN, og Verisign påvirkes også.
Den gode nyhed er, at programrettelser, der adresserer problemerne, allerede er tilgængelige. Ved at anvende dem, serveradministratorer forhindrer angribere i at udnytte DNS-delegationsprocessen for at oversvømme andre DNS-servere.
I 2015, en sjældne DDoS på Internets DNS-rodservere blev registreret. Angrebet forårsagede omkring fem millioner forespørgsler pr. Sekund pr. DNS-rodnavnserver. Truslerne bag DDoS var ukendt, da IP-kildeadresserne let blev forfalsket. Desuden, kildens IP-adresser, der blev anvendt i angrebene, blev spredt på en dygtig og vilkårlig måde i hele IPv4-adresserummet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: