Pesquisadores descobrem falha em DNS que permite ataques DDOS em larga escala

Pesquisadores israelenses de segurança cibernética divulgaram detalhes sobre uma nova falha no protocolo DNS que pode ser explorada para lançar ataques ampliados e de larga escala distribuídos de negação de serviço (DDoS) a sites alvos de remoção.

Conforme informou o The Hacker News, chamada de NXNSAttack , a falha depende do mecanismo de delegação de DNS para forçar os resolvedores de nomes a gerar mais consultas de DNS para servidores autoritativos da escolha do invasor, potencialmente causando uma interrupção em escala de botnet nos serviços online.

“Mostramos que o número de mensagens DNS trocadas em um processo típico de resolução pode ser muito maior na prática do que o esperado na teoria, principalmente devido a uma resolução proativa dos endereços IP dos servidores de nomes”, disseram os pesquisadores no jornal.

“Mostramos como essa ineficiência se torna um gargalo e pode ser usada para montar um ataque devastador contra um ou ambos, resolvedores recursivos e servidores autorizados”.

Após a divulgação responsável do NXNSAttack, várias empresas responsáveis ​​pela infraestrutura da Internet, incluindo PowerDNS ( CVE-2020-10995 ), CZ.NIC (CVE-2020-12667), Cloudflare, GoogleAmazonMicrosoft, Dyn de propriedade da Oracle , Verisign e IBM Quad9, corrigiram seus softwares para solucionar o problema.

A infra-estrutura de DNS já havia sido alvo de uma série de ataques DDoS por meio da infame Mirai botnet , incluindo aqueles contra o serviço Dyn em 2016, prejudicando alguns dos maiores sites do mundo, incluindo Twitter, Netflix, Amazon e Spotify.

DNS: O método NXNSAttack

Uma pesquisa DNS recursiva ocorre quando um servidor deste tipo se comunica com vários outros autoritativos em uma sequência hierárquica para localizar um endereço IP associado a um domínio (por exemplo, http://www.google.com) e devolvê-lo ao cliente.

Essa resolução geralmente começa com o resolvedor de DNS controlado por seus ISPs ou servidores DNS públicos, como Cloudflare (1.1.1.1) ou Google (8.8.8.8), o que estiver configurado com o seu sistema.

O resolvedor passa a solicitação para um servidor de nomes DNS autoritário se não conseguir localizar o endereço IP para um determinado nome de domínio.

Mas se o primeiro servidor de nomes DNS autoritativo também não retiver os registros desejados, ele retornará a mensagem de delegação com endereços para os próximos servidores autoritativos aos quais o resolvedor DNS pode consultar.

Em outras palavras, um servidor autoritário diz ao resolvedor recursivo: “Não sei a resposta, consulte estes e esses servidores de nomes, por exemplo, ns1, ns2, etc.”.

Esse processo hierárquico continua até que o resolvedor DNS atinja o servidor autoritativo correto que fornece o endereço IP do domínio, permitindo que o usuário acesse o site desejado.

Os pesquisadores descobriram que essas grandes despesas indiretas indesejadas podem ser exploradas para enganar os resolvedores recursivos a enviar continuamente um grande número de pacotes para um domínio de destino, em vez de servidores oficiais legítimos.

Para montar o ataque através de um resolvedor recursivo, o invasor deve estar na posse de um servidor autorizado, disseram os pesquisadores.

“Isso pode ser facilmente alcançado com a compra de um nome de domínio. Um adversário que atua como um servidor autorizado pode criar qualquer resposta de referência do NS como resposta a diferentes consultas de DNS”, disseram os pesquisadores.

O NXNSAttack funciona enviando uma solicitação para um domínio controlado pelo invasor (por exemplo, “attacker.com”) para um servidor vulnerável de resolução de DNS, que encaminhará a consulta DNS para o servidor autorizado controlado pelo invasor.

Em vez de retornar endereços aos servidores autoritativos reais, o servidor autoritativo controlado pelo invasor responde à consulta DNS com uma lista de nomes ou subdomínios de servidor falsos controlados pelo agente de ameaça que aponta para o domínio DNS da vítima.

O servidor DNS, então, encaminha a consulta a todos os subdomínios inexistentes, criando um grande aumento no tráfego para o site da vítima.

Os pesquisadores disseram que o ataque pode ampliar o número de pacotes trocados pelo resolvedor recursivo em até um fator de mais de 1.620, sobrecarregando não apenas os resolvedores de DNS com mais solicitações que eles podem manipular, mas também inundando o domínio de destino com solicitações supérfluas e derrubá-lo.

Além do mais, o uso de uma botnet como o Mirai como um cliente DNS pode aumentar ainda mais a escala do ataque.

“Controlar e adquirir um grande número de clientes e um grande número de NSs autorizados por um invasor é fácil e barato na prática”, disseram os pesquisadores.

“Nosso objetivo inicial era investigar a eficiência dos resolvedores recursivos e seu comportamento sob diferentes ataques, e acabamos encontrando uma nova vulnerabilidade de aparência séria, o NXNSAttack”, concluíram os pesquisadores.

“Os principais ingredientes do novo ataque são: (i) a facilidade com que se pode possuir ou controlar um servidor de nomes autorizado e (ii) o uso de nomes de domínio inexistentes para servidores de nome e (iii) a redundância extra colocada no DNS estrutura para obter tolerância a falhas e tempo de resposta rápido,

É altamente recomendável que os administradores de rede que executam seus próprios servidores DNS atualizem seu software de resolução de DNS para a versão mais recente.

Fonte: The Hacker News e Programadores do Brasil