Otro día, otro descubrimiento de vulnerabilidades. Se acaba de descubrir un nuevo ataque malicioso que explota la forma en que funcionan los resolutivos recursivos de DNS.
En detalle, el ataque explota la forma en que funcionan los resolutores cuando reciben una respuesta de referencia NS que contiene servidores de nombres pero sin sus correspondientes direcciones IP. En términos sencillos, este nuevo ataque, que se ha denominado NXNSAttack, impacta los servidores DNS recursivos y el proceso de delegación de DNS.
NXNSAttack: Como funciona?
Ante todo, ¿Qué es un servidor DNS recursivo?? Es un sistema DNS que pasa las consultas DNS aguas arriba con el propósito de resolverlas y convertirlas de un nombre de dominio a una dirección IP. Las conversiones están ocurriendo en servidores DNS autorizados, que contiene una copia del registro DNS y autorizado para resolverlo. Ahi esta, sin embargo, Un mecanismo de seguridad dentro del protocolo DNS que permite a los servidores DNS autorizados delegar esta operación a servidores DNS alternativos.
Aquí es donde entra en juego el nuevo NXNSAttack. Según los investigadores de la Universidad de Tel Aviv y el Centro Interdisciplinario en Herzliya, Israel, hay una manera de abusar del proceso de delegación e implementarlo en ataques DDoS. Siguiendo este descubrimiento, los investigadores realizaron un "procedimiento de divulgación coordinado responsable", y lanzó su informe detallado. Como resultado de esta divulgación, Varios proveedores de software y proveedores de servicios de DNS han adoptado medidas para protegerse contra las medidas destructivas del NXNSAttack.
De acuerdo a el informe:
El NXNSAttack es una nueva vulnerabilidad que explota la forma en que funcionan los resolutivos recursivos de DNS al recibir una respuesta de referencia NS que contiene servidores de nombres pero sin sus correspondientes direcciones IP (es decir, registros de pegamento faltantes). El número de mensajes DNS intercambiados en un proceso de resolución típico podría ser mucho mayor en la práctica de lo que se espera en teoría, principalmente debido a una resolución proactiva de las direcciones IP de los servidores de nombres. Esta ineficiencia se convierte en un cuello de botella y podría usarse para montar un ataque devastador contra uno o ambos, solucionadores recursivos y servidores autorizados.
Cabe mencionar que el NXNSAttack parece ser más efectivo que el ataque NXDomain debido a dos razones.. Primero, el ataque alcanza un factor de amplificación de más de 1620x en la cantidad de paquetes intercambiados por el resolutor recursivo. Y segundo, además del caché negativo, el ataque también satura las cachés de resolución 'NS'.
Los investigadores han estado trabajando incansablemente durante meses con varios proveedores de software DNS., redes de entrega de contenido, y proveedores de DNS administrados para aplicar mitigaciones a los servidores DNS a escala global.
Qué software se ve afectado por el NXNSAttack?
Las vulnerabilidades se encuentran en ISC BIND, conocido como CVE-2020-8616); NLnet labs Unbound, conocido como CVE-2020-12662; PowerDNS, conocido como CVE-2020-10995, y CZ.NIC Knot Resolver, o CVE-2020-12667. Sin embargo, servicios DNS comerciales de Cloudflare, Google, Amazonas, Oracle (HOMBRE), Microsoft, IBM Quad9, ICANN, y Verisign también se ven afectados.
La buena noticia es que los parches que abordan los problemas ya están disponibles. Al aplicarlos, los administradores del servidor evitarán que los atacantes exploten el proceso de delegación de DNS para inundar otros servidores DNS.
En 2015, un DDoS raros en los servidores raíz DNS de Internet fue registrado. Los ataques causaron alrededor de cinco millones de consultas por segundo por servidor de nombre raíz DNS. Los actores de la amenaza detrás del DDoS eran desconocidos, ya que las direcciones de origen de IP fueron falsificadas fácilmente. Adicionalmente, Las direcciones IP de origen aplicadas en los ataques se distribuyeron de manera hábil y arbitraria en todo el espacio de direcciones IPv4.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: