Se puede abusar de la técnica NXNSAttack para ataques DDoS a gran escala


NSNXAttack

Un equipo de académicos de Israel ha revelado hoy detalles sobre NXNSAttack, una vulnerabilidad en los servidores DNS que se puede abusar para lanzar ataques DDoS de proporciones masivas.

Según el equipo de investigación, NXNSAttack afecta los servidores DNS recursivos y el proceso de delegación de DNS.

Los servidores DNS recursivos son sistemas DNS que pasan consultas DNS en sentido ascendente para ser resueltas y convertidas de un nombre de dominio a una dirección IP.

Estas conversiones tienen lugar en servidores DNS autorizados, los servidores que contienen una copia del registro DNS y están autorizados para resolverlo.

Sin embargo, como parte del mecanismo de seguridad del protocolo DNS, los servidores DNS autorizados también pueden «delegar» esta operación a servidores DNS alternativos de su elección.

Nuevo NXNSAttack explicado

En un trabajo de investigación publicado hoy, académicos de la Universidad de Tel Aviv y el Centro Interdisciplinario en Herzliya, Israel, dijeron que encontraron una manera de abusar de este proceso de delegación para los ataques DDoS.

La técnica NXNSAttack tiene diferentes facetas y variaciones, pero los pasos básicos se detallan a continuación:

1) Un atacante envía una consulta DNS a un servidor DNS recursivo. La solicitud es para un dominio como «attacker.com», que se administra a través de un servidor DNS autorizado controlado por el atacante.
2) Dado que el servidor DNS recursivo no está autorizado para resolver este dominio, reenvía la operación al servidor DNS autorizado malintencionado del atacante.
3) El servidor DNS malicioso responde al servidor DNS recursivo con un mensaje que equivale a «Estoy delegando esta operación de resolución de DNS a esta gran lista de servidores de nombres». La lista contiene miles de subdominios para un sitio world wide web víctima.
4) El servidor DNS recursivo reenvía la consulta DNS a todos los subdominios de la lista, creando un aumento en el tráfico para el servidor DNS autorizado de la víctima.

nsnxattack-scheme.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/19/941dd374-4900-4940-9cbd-39975182a122/nsnxattack-scheme.png

Imagen: NIC.CZ

NXNSAttack tiene un gran issue de amplificación

El equipo de investigación dice que un atacante que usa NXNSAttack puede amplificar una straightforward consulta DNS de 2 a 1.620 veces su tamaño inicial, creando un aumento masivo en el tráfico que puede bloquear el servidor DNS de una víctima.

Una vez que el servidor DNS se cae, esto también evita que los usuarios accedan al sitio world-wide-web atacado, ya que el dominio del sitio ya no se puede resolver.

El equipo de investigación dice que el variable de amplificación de paquetes NXNSAttack (PAF) depende del application DNS que se ejecuta en un servidor DNS recursivo sin embargo, en la mayoría de los casos, el variable de amplificación es muchas veces mayor que otros ataques de amplificación (reflexión) DDoS, donde el PAF generalmente está entre valores bajos de 2 y 10.

Este gran PAF implica que NXNSAttack es uno de los vectores de ataque DDoS más peligrosos conocidos hasta la fecha, que tiene la capacidad de lanzar ataques debilitantes con solo unos pocos dispositivos y consultas DNS automatizadas.

Parches disponibles para program DNS

Los investigadores israelíes dijeron que han estado trabajando durante los últimos meses con los fabricantes de software program DNS, redes de entrega de contenido y proveedores de DNS administrados para aplicar mitigaciones a los servidores DNS en todo el mundo.

El software package afectado incluye los gustos de ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995) y CZ.NIC Knot Resolver (CVE-2020-12667), pero también servicios comerciales de DNS proporcionados por compañías como Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 e ICANN.

nsnxattack-paf.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/05/19/6bbfc86c-51ae-42c1-889f-830487133471/nsnxattack-paf.png

Imagen: Shafir et al.

Los parches se han lanzado hoy y durante las semanas anteriores. Incluyen mitigaciones que evitan que los atacantes abusen del proceso de delegación de DNS para inundar otros servidores DNS.

Se recomienda a los administradores de servidores que ejecutan sus propios servidores DNS que actualicen el software package de resolución de DNS a la última versión.

El trabajo del equipo de investigación se ha detallado en un artículo académico titulado «NXNSAttack: ineficiencias y vulnerabilidades de DNS recursivas,» disponible para descarga en formato PDF.



Enlace a la noticia unique