La mayoría de los servidores DNS se pueden utilizar para ataques DDoS

Un equipo de académicos israelíes descubrió una falla en los servidores DNS, que se puede utilizar para lanzar ataques DDoS. La vulnerabilidad existe en la mayoría de los servidores DNS recursivos y su proceso de delegación de DNS. Este ataque, denominado como NXNSAttack, puede suplantar la delegación de DNS y realizar consultas falsas en varios subdominios en el servidor DNS objetivo y realizar un ataque DDoS para bloquear el sistema.

Flujo de operación
Flujo de operación

Fallos en el proceso de delegación

Los servidores DNS, los directorios telefónicos de Internet pueden tener servidores DNS recursivos que reenvían las consultas de DNS a sus servidores superiores para su resolución. Y estos servidores superiores son los servidores administrativos que tienen una copia de los registros DNS y los resuelven. A veces, como práctica de seguridad, estos servidores administrativos también pueden delegar el proceso de resolución en sistemas DNS alternativos.

Y este es el punto de ataque de los oponentes aquí. Los académicos de la Universidad de Tel Aviv de Israel explicaron cómo los atacantes pueden aprovechar estas lagunas en el proceso de delegación para comprometer los servidores DNS. Esto comienza con el envío de una consulta DNS general a un servidor DNS recursivo.

NXNSAttack
NXNSAttack

Tenga en cuenta que la solicitud de dominio realizada será algo administrado por un servidor DNS autorizado controlado por el atacante. Dado que el servidor DNS recursivo no está autorizado para resolver este dominio, se reenviará al servidor DNS autoritario malintencionado del atacante para su resolución. Y este servidor DNS malicioso responde como «Estoy delegando esta operación de resolución de DNS a esta gran lista de servidores de nombres» al servidor DNS recursivo.

Esto hace que el servidor DNS recursivo reenvíe esta consulta DNS a todos los subdominios en su lista, creando un pico en el tráfico hacia el servidor DNS autorizado de la víctima. Al hacer esto con éxito, el repentino aumento de tráfico eventualmente colapsará el sitio y dejará de aceptar solicitudes de resolución de visitantes genuinos.

Software y parches afectados

Los académicos dijeron que el software DNS como NLnet Labs Unbound (CVE-2020-12662), CZ.NIC Knot Resolver (CVE-2020-12667), ISC BIND (CVE-2020-8616) y PowerDNS (CVE-2020-10995) podrían ser impactado. Además, los servicios DNS comerciales como Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 e ICANN también se ven afectados.

Los parches están disponibles de todos estos proveedores lanzados esta semana y en el pasado. Y los académicos están pidiendo a los administradores de DNS que se actualicen para solucionar el problema lo antes posible.

A través de la: ZDNet