Un altro giorno, un'altra scoperta di vulnerabilità. È stato appena scoperto un nuovo attacco malevolo che sfrutta il modo in cui funzionano i resolver ricorsivi DNS.
In dettaglio, l'attacco sfrutta il modo in cui funzionano i resolver quando ricevono una risposta di riferimento NS che contiene nameserver ma senza i loro indirizzi IP corrispondenti. In parole povere, questo nuovo attacco, che è stato soprannominato NXNSAttack, influisce sui server DNS ricorsivi e sul processo di delega DNS.
NXNSAttack: Come funziona?
Prima di tutto, cos'è un server DNS ricorsivo? È un sistema DNS che trasmette query DNS a monte allo scopo di risolverle e convertirle da un nome di dominio a un indirizzo IP. Le conversioni avvengono su server DNS autorevoli, contenente una copia del record DNS e autorizzato a risolverlo. C'è, tuttavia, un meccanismo di sicurezza all'interno del protocollo DNS che consente ai server DNS autorevoli di delegare questa operazione a server DNS alternativi.
Qui è dove entra in gioco il nuovo NXNSAttack. Secondo i ricercatori dell'Università di Tel Aviv e del Centro interdisciplinare di Herzliya, Israele, c'è un modo per abusare del processo di delega e distribuirlo negli attacchi DDoS. A seguito di questa scoperta, i ricercatori hanno eseguito un "procedura di divulgazione coordinata responsabile", e pubblicato il loro rapporto dettagliato. Come risultato di questa divulgazione, un certo numero di fornitori di software DNS e fornitori di servizi hanno adottato misure per proteggersi dalle misure distruttive di NXNSAttack.
Secondo il rapporto:
NXNSAttack è una nuova vulnerabilità che sfrutta il modo in cui funzionano i resolver ricorsivi DNS quando riceve una risposta di riferimento NS che contiene nameserver ma senza i loro indirizzi IP corrispondenti (cioè, record di colla mancanti). Il numero di messaggi DNS scambiati in un tipico processo di risoluzione potrebbe essere molto più elevato in pratica di quanto ci si aspetti in teoria, principalmente a causa di una risoluzione proattiva degli indirizzi IP dei server dei nomi. Questa inefficienza diventa un collo di bottiglia e potrebbe essere utilizzata per innescare un attacco devastante contro uno o entrambi, resolver ricorsivi e server autorevoli.
È interessante notare che l'NXNSAttack sembra essere più efficace dell'attacco NXDomain per due motivi. Primo, l'attacco raggiunge un fattore di amplificazione superiore a 1620x sul numero di pacchetti scambiati dal resolver ricorsivo. e in secondo luogo, oltre alla cache negativa, l'attacco satura anche le cache del resolver "NS".
I ricercatori hanno lavorato instancabilmente per mesi con diversi fornitori di software DNS, reti di distribuzione dei contenuti, e ha gestito i provider DNS per applicare mitigazioni ai server DNS su scala globale.
Quale software è influenzato da NXNSAttack?
Le vulnerabilità si trovano in ISC BIND, noto come CVE-2020-8616); Laboratori NLnet Nessun impegno, noto come CVE-2020-12662; PowerDNS, noto come CVE-2020-10995, e CZ.NIC Knot Resolver, o CVE-2020-12667. Tuttavia, servizi DNS commerciali di Cloudflare, Google, Amazon, Oracolo (UOMO), Microsoft, IBM Quad9, ICANN, e Verisign sono anche interessati.
La buona notizia è che le patch che risolvono i problemi sono già disponibili. Applicandoli, gli amministratori del server impediranno agli aggressori di sfruttare il processo di delega DNS per inondare altri server DNS.
In 2015, un raro DDoS sui server root DNS di Internet è stato registrato. Gli attacchi hanno causato circa cinque milioni di query al secondo per server dei nomi radice DNS. Gli attori della minaccia dietro il DDoS erano sconosciuti, poiché gli indirizzi IP di origine venivano facilmente falsificati. In aggiunta, gli indirizzi IP di origine applicati negli attacchi sono stati diffusi in modo abile e arbitrario in tutto lo spazio degli indirizzi IPv4.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: