Investigadores israelíes han revelado detalles sobre una nueva vulnerabilidad, llamada NXNSAttack, que afecta el protocolo DNS y que puede explotarse para lanzar ataques de denegación de servicio (DDoS) amplificados y a gran escala para dar de baja a sitios web específicos.
NXNSAttack, depende del mecanismo de delegación de DNS para obligar a los resolutores de DNS a generar más consultas a los servidores autorizados de elección del atacante, este comportamiento a escala de una botnet como Mirai, puede causar una interrupción en los servicios en línea.
Tras la divulgación responsable de NXNSAttack, varios de los proveedores afectados, como BIND (CVE-2020-8616), Unbound (CVE-2020-12662), Knot (CVE-2020-12667) y PowerDNS (CVE-2020-10995) han parcheado su software y asignado identificadores CVE. Así mismo, otras compañías como Cloudflare, Google, Amazon, Microsoft, Dyn, propiedad de Oracle, Verisign e IBM Quad9, han parcheado su software y servidores para evitar la explotación.
Las entidades que operan su propio solucionador de DNS deben actualizar su software lo antes posible para evitar ataques.
La infraestructura de DNS ha estado previamente en el extremo receptor de una serie de ataques DDoS a través de la botnet Mirai, incluidos aquellos contra el servicio Dyn DNS en 2016, paralizando algunos de los sitios más grandes del mundo, como Twitter, Netflix, Amazon y Spotify.
El método NXNSAttack
Una búsqueda DNS recursiva ocurre cuando un servidor DNS se comunica con varios servidores DNS autorizados en una secuencia jerárquica para ubicar una dirección IP asociada con un dominio (por ejemplo, www.google.com) y devolverla al cliente. Esta resolución generalmente comienza con la resolución DNS controlada por sus ISP o servidores DNS públicos, como Cloudflare (1.1.1.1) o Google (8.8.8.8), lo que esté configurado en su sistema.
La resolución pasa la solicitud a un servidor de nombres DNS autorizado si no puede localizar la dirección IP de un nombre de dominio determinado. Pero si el primer servidor de nombres DNS autorizado tampoco contiene los registros deseados, devuelve el mensaje de delegación con direcciones a los siguientes servidores autorizados a los que puede consultar el solucionador DNS.
Este proceso jerárquico continúa hasta que el solucionador DNS llega al servidor autorizado correcto que proporciona la dirección IP del dominio, lo que permite al usuario acceder al sitio web deseado.
El NXNSAttack funciona enviando una solicitud de un dominio controlado por el atacante (por ejemplo, «attacker.com») a un servidor de resolución de DNS vulnerable, que reenviaría la consulta DNS al servidor autorizado controlado por el atacante.
En lugar de devolver direcciones a los servidores autorizados reales, el servidor autorizado controlado por el atacante responde a la consulta DNS con una lista de nombres de servidor falsos o subdominios controlados por el actor de la amenaza que apunta a un dominio DNS víctima.
El servidor DNS, luego, reenvía la consulta a todos los subdominios inexistentes, creando un aumento masivo en el tráfico al sitio de la víctima.
«Para organizar el ataque a través de un resolutor recursivo, el atacante debe estar en posesión de un servidor autorizado. Esto se puede lograr fácilmente comprando un nombre de dominio. Un atacante que actúa como un servidor autorizado puede elaborar cualquier respuesta de referencia NS como respuesta a diferentes consultas DNS», dijeron los investigadores.
Según los investigadores, los ingredientes claves del nuevo ataque son:
- La facilidad con la que se puede poseer o controlar un servidor de nombres autorizado.
- El uso de nombres de dominio inexistentes para servidores de nombres.
- La redundancia adicional colocada en la estructura DNS para lograr tolerancia a fallas y tiempo de respuesta rápido.
Telconet, con el fin de precautelar la disponibilidad e integridad del servicio de nuestros clientes y el de nuestra infraestructura, informa que se gestionan internamente las medidas pertinentes para evitar ataques asociados a la vulnerabilidad expuesta en esta publicación.
Referencias:
- https://thehackernews.com/2020/05/dns-server-ddos-attack.html
- https://www.adslzone.net/noticias/seguridad/nxnsattack-dns-ataque-vulnerabilidad/
- https://www.securityweek.com/nxnsattack-new-dns-vulnerability-allows-big-ddos-attacks