Een andere dag, een andere ontdekking van kwetsbaarheden. Er is zojuist een nieuwe kwaadaardige aanval ontdekt die gebruikmaakt van de manier waarop recursieve DNS-resolvers werken.
In detail, de aanval maakt gebruik van de manier waarop de resolvers werken bij het ontvangen van een NS-verwijzingsantwoord dat naamservers bevat, maar zonder de bijbehorende IP-adressen. In lekentaal, deze nieuwe aanval, die NXNSAttack is genoemd, heeft invloed op recursieve DNS-servers en het proces van DNS-delegatie.
NXNSAttack: Hoe werkt het?
Allereerst, wat is een recursieve DNS-server? Het is een DNS-systeem dat DNS-query's stroomopwaarts doorgeeft met het doel deze op te lossen en te converteren van een domeinnaam naar een IP-adres. De conversies vinden plaats op gezaghebbende DNS-servers, met een kopie van het DNS-record en geautoriseerd om het op te lossen. Er bestaat, echter, een veiligheidsmechanisme binnen het DNS-protocol waarmee gezaghebbende DNS-servers deze bewerking kunnen delegeren naar alternatieve DNS-servers.
Dit is waar de nieuwe NXNSAttack op zijn plaats komt. Volgens onderzoekers van de universiteit van Tel Aviv en het interdisciplinair centrum in Herzliya, Israël, er is een manier om het delegatieproces te misbruiken en in DDoS-aanvallen in te zetten. Na deze ontdekking, de onderzoekers voerden een "verantwoordelijke gecoördineerde openbaarmakingsprocedure", en brachten hun gedetailleerd rapport uit. Als gevolg van deze openbaarmaking, een aantal DNS-softwareleveranciers en serviceproviders hebben maatregelen genomen om te beschermen tegen de destructieve maatregelen van de NXNSAttack.
Volgens het verslag:
De NXNSAttack is een nieuwe kwetsbaarheid die misbruik maakt van de manier waarop recursieve DNS-resolvers werken bij het ontvangen van een NS-verwijzingsantwoord dat naamservers bevat, maar zonder de bijbehorende IP-adressen (d.w.z., ontbrekende lijmplaten). Het aantal uitgewisselde DNS-berichten in een typisch resolutieproces kan in de praktijk veel hoger zijn dan in theorie wordt verwacht, vooral vanwege een proactieve resolutie van IP-adressen van naamservers. Deze inefficiëntie wordt een bottleneck en kan worden gebruikt om een verwoestende aanval tegen een of beide uit te voeren, recursieve resolvers en gezaghebbende servers.
Het is opmerkelijk dat de NXNSAttack om twee redenen effectiever lijkt te zijn dan de NXDomain-aanval. Eerste, de aanval bereikt een versterkingsfactor van meer dan 1620x op het aantal pakketten dat door de recursieve resolver is uitgewisseld. En ten tweede, naast de negatieve cache, de aanval verzadigt ook de ‘NS’ resolver-caches.
De onderzoekers werken al maanden onafgebroken met verschillende DNS-softwareleveranciers, netwerken voor inhoudslevering, en beheerde DNS-providers om mitigaties op DNS-servers op wereldwijde schaal toe te passen.
Welke software wordt beïnvloed door de NXNSAttack?
De kwetsbaarheden bevinden zich in ISC BIND, bekend als CVE-2020-8616); NLnet labs Niet geconsolideerd, bekend als CVE-2020-12662; PowerDNS, bekend als CVE-2020-10995, en CZ.NIC Knot Resolver, of CVE-2020-12667. Echter, commerciële DNS-services van Cloudflare, Google, Amazone, Oracle (MENS), Microsoft, IBM Quad9, IK KAN, en Verisign worden ook beïnvloed.
Het goede nieuws is dat patches die de problemen aanpakken al beschikbaar zijn. Door ze toe te passen, serverbeheerders voorkomen dat aanvallers het DNS-delegatieproces misbruiken om andere DNS-servers te overspoelen.
In 2015, een zeldzame DDoS op de DNS-rootservers van internet was geregistreerd. De aanvallen veroorzaakten ongeveer vijf miljoen zoekopdrachten per seconde per DNS-naamserver. De dreigingsactoren achter de DDoS waren onbekend, aangezien de IP-bronadressen gemakkelijk konden worden vervalst. Bovendien, de bron-IP-adressen die bij de aanvallen werden gebruikt, werden op een bekwame en willekeurige manier verspreid over de IPv4-adresruimte.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: