Μια ομάδα ακαδημαϊκών από το Ισραήλ έφερε στο φως της δημοσιότητας πληροφορίες σχετικά με το NXNSAttack, μία νέα ευπάθεια σε DNS servers που μπορεί να χρησιμοποιηθεί για DDoS επιθέσεις μεγάλης κλίμακας. Σύμφωνα με τους ερευνητές, η νέα ευπάθεια NXNSAttack επηρεάζει τους αναδρομικούς DNS servers και τη διαδικασία ανάθεσης DNS. Οι αναδρομικοί DNS servers είναι συστήματα DNS που περνούν ερωτήματα DNS upstream, για να επιλυθούν και να μετατραπούν από ένα domain name σε μια διεύθυνση IP. Αυτές οι μετατροπές πραγματοποιούνται σε έγκυρους DNS servers, τους servers που περιέχουν ένα αντίγραφο της εγγραφής DNS και είναι εξουσιοδοτημένοι να το επιλύσουν. Ωστόσο, ως μέρος του μηχανισμού ασφαλείας του πρωτοκόλλου DNS, οι έγκυροι DNS servers μπορούν επίσης να “αναθέσουν” αυτήν τη λειτουργία σε εναλλακτικούς DNS servers της επιλογής τους.
Σε μια έρευνα που μόλις κυκλοφόρησε, οι ακαδημαϊκοί από το Πανεπιστήμιο του Τελ Αβίβ και το Διεπιστημονικό Κέντρο στο Herzliya του Ισραήλ, δήλωσαν ότι βρήκαν έναν τρόπο κατάχρησης αυτής της διαδικασίας ανάθεσης για DDoS επιθέσεις. Η τεχνική NXNSAttack παρουσιάζει διαφορετικές πτυχές και παραλλαγές, ωστόσο επισημαίνονται τα ακόλουθα:
- Ένας εισβολέας στέλνει ερώτημα DNS σε έναν αναδρομικό DNS server. Το ερώτημα αφορά domain όπως το “attacker.com”, το οποίο διαχειρίζεται μέσω ενός έγκυρου DNS server που ελέγχεται από έναν εισβολέα.
- Εφόσον ο αναδρομικός DNS server δεν έχει εξουσιοδότηση για την επίλυση αυτού του domain, προωθεί τη λειτουργία στον κακόβουλο εξουσιοδοτημένο DNS server του εισβολέα.
- Ο κακόβουλος DNS server αποκρίνεται στον αναδρομικό DNS server με το μήνυμα “Αναθέτω αυτήν τη λειτουργία επίλυσης DNS σε αυτήν τη μεγάλη λίστα των name servers”. Η λίστα περιέχει χιλιάδες subdomains από έναν ιστότοπο – θύμα.
- Ο αναδρομικός DNS server προωθεί το ερώτημα DNS σε όλα τα subdomains της λίστας, δημιουργώντας μια αύξηση της κίνησης στον επίσημο DNS server του θύματος.
Η ερευνητική ομάδα αναφέρει ότι ένας εισβολέας που εκμεταλλεύεται το NXNSAttack μπορεί να ενισχύσει ένα απλό ερώτημα DNS από 2 έως 1.620 φορές σε σύγκριση με το αρχικό του μέγεθος, δημιουργώντας μια τεράστια αύξηση της κίνησης που μπορεί να συντρίψει τον DNS server ενός θύματος. Μόλις τερματιστεί ο DNS server, αυτό αποτρέπει επίσης την πρόσβαση των χρηστών στον ιστότοπο που δέχεται επίθεση, καθώς το domain του ιστότοπου δεν μπορεί πλέον να επιλυθεί. Η ερευνητική ομάδα επισημαίνει, ακόμη, ότι ο παράγοντας ενίσχυσης πακέτων NXNSAttack (PAF) εξαρτάται από το λογισμικό DNS που εκτελείται σε έναν αναδρομικό DNS server. Ωστόσο, στις περισσότερες περιπτώσεις, ο παράγοντας ενίσχυσης είναι πολλές φορές μεγαλύτερος από άλλες επιθέσεις ενίσχυσης DDoS, όπου το PAF είναι συνήθως μεταξύ των χαμηλών τιμών 2 και 10. Αυτό το PAF υποδεικνύει ότι το NXNSAttack είναι ένας από τους πιο επικίνδυνους φορείς DDoS επιθέσεων που είναι γνωστοί μέχρι σήμερα, έχοντας τη δυνατότητα να πραγματοποιήσει εξουθενωτικές επιθέσεις.
Επιπλέον, οι Ισραηλινοί ερευνητές δήλωσαν ότι συνεργάζονται τους τελευταίους μήνες με κατασκευαστές λογισμικού DNS, δικτύων διανομής περιεχομένου και με παρόχους διαχειριζόμενων DNS, για την εφαρμογή patches σε DNS servers σε όλο τον κόσμο. Το λογισμικό που επηρεάζεται περιλαμβάνει τα ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995) και CZ.NIC Knot Resolver (CVE-2020-12667), αλλά και εμπορικές υπηρεσίες DNS που παρέχονται από εταιρείες όπως οι Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 και ICANN. Αυτά τα patches κυκλοφόρησαν το τελευταίο διάστημα και περιλαμβάνουν μετριασμούς που εμποδίζουν εισβολείς να κάνουν κατάχρηση της διαδικασίας ανάθεσης DNS για να επιτεθούν σε άλλους DNS servers. Τέλος, στους διαχειριστές servers που εκτελούν τους δικούς τους DNS servers συνιστάται να ενημερώσουν το λογισμικό ανάλυσης DNS με την πιο πρόσφατη έκδοση.
