Un autre jour, une autre découverte de vulnérabilités. Une nouvelle attaque malveillante exploitant le fonctionnement des résolveurs récursifs DNS vient d'être découverte.
En détail, l'attaque exploite le fonctionnement des résolveurs lors de la réception d'une réponse de référence NS contenant des serveurs de noms mais sans leurs adresses IP correspondantes. En termes simples, cette nouvelle attaque, qui a été surnommé NXNSAttack, impacte les serveurs DNS récursifs et le processus de délégation DNS.
NXNSAttack: Comment ça marche?
Tout d'abord, qu'est-ce qu'un serveur DNS récursif? Il s'agit d'un système DNS qui transmet les requêtes DNS en amont dans le but de les résoudre et de les convertir d'un nom de domaine en une adresse IP. Les conversions se produisent sur des serveurs DNS faisant autorité, contenant une copie de l'enregistrement DNS et autorisé à le résoudre. Il y a, cependant, un mécanisme de sécurité au sein du protocole DNS qui permet aux serveurs DNS faisant autorité de déléguer cette opération à d'autres serveurs DNS.
C'est là que le nouveau NXNSAttack prend place. Selon des chercheurs de l'Université de Tel Aviv et du Centre interdisciplinaire de Herzliya, Israël, il existe un moyen d'abuser du processus de délégation et de le déployer dans les attaques DDoS. Suite à cette découverte, les chercheurs ont effectué un «Procédure de divulgation coordonnée et responsable", et a publié son rapport détaillé. À la suite de cette divulgation, un certain nombre de fournisseurs de logiciels DNS et de fournisseurs de services ont adopté des mesures pour se protéger contre les mesures destructrices du NXNSAttack.
Selon le rapport:
NXNSAttack est une nouvelle vulnérabilité qui exploite le fonctionnement des résolveurs récursifs DNS lors de la réception d'une réponse de référence NS contenant des serveurs de noms mais sans leurs adresses IP correspondantes (c'est à dire., enregistrements de colle manquants). Le nombre de messages DNS échangés dans un processus de résolution typique pourrait être beaucoup plus élevé dans la pratique que ce qui est attendu en théorie, principalement en raison d'une résolution proactive des adresses IP des serveurs de noms. Cette inefficacité devient un goulot d'étranglement et pourrait être utilisée pour monter une attaque dévastatrice contre l'un ou les deux, résolveurs récursifs et serveurs faisant autorité.
Il est à noter que NXNSAttack semble être plus efficace que l'attaque NXDomain pour deux raisons. Première, l'attaque atteint un facteur d'amplification de plus de 1620x sur le nombre de paquets échangés par le résolveur récursif. Et deuxieme, en plus du cache négatif, l'attaque sature également les caches de résolveurs «NS».
Les chercheurs travaillent sans relâche depuis des mois avec plusieurs fournisseurs de logiciels DNS, réseaux de diffusion de contenu, et les fournisseurs DNS gérés pour appliquer des atténuations aux serveurs DNS à l'échelle mondiale.
Quels logiciels sont affectés par le NXNSAttack?
Les vulnérabilités se trouvent dans ISC BIND, connu sous le nom de CVE-2020-8616); Laboratoires NLnet non consolidé, appelé CVE-2020-12662; PowerDNS, appelé CVE-2020-10995, et CZ.NIC Knot Resolver, ou CVE-2020-12667. Cependant, services DNS commerciaux par Cloudflare, Google, Amazone, Oracle (HOMME), Microsoft, IBM Quad9, JE PEUX, et Verisign sont également impactés.
La bonne nouvelle est que les correctifs traitant les problèmes sont déjà disponibles. En les appliquant, les administrateurs de serveur empêcheront les attaquants d'exploiter le processus de délégation DNS pour inonder d'autres serveurs DNS.
Dans 2015, une DDoS rares sur les serveurs racine DNS d'Internet a été enregistré. Les attaques ont causé environ cinq millions de requêtes par seconde par serveur de noms racine DNS. Les acteurs de la menace derrière le DDoS étaient inconnus, car les adresses source IP étaient facilement usurpées. En outre, les adresses IP source appliquées dans les attaques ont été réparties de manière habile et arbitraire dans tout l'espace d'adressage IPv4.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: