Уязвимость в DNS-серверах позволяет в тысячу раз усилить мощность DDoS-атаки

[Artifact]

Уязвимость NXNSAttack затрагивает рекурсивные DNS-серверы и процесс делегирования.

Группа исследователей из Тель-Авивского университета и Междисциплинарного центра в Герцлии (Израиль) http://www.nxnsattack.com/dns-ns-paper.pdfв DNS-серверах https://www.securitylab.ru/vulnerability/508474.php, позволяющую осуществлять DDoS-атаки с фактором усиления 1620x. По словам специалистов, уязвимость, получившая название NXNSAttack, затрагивает рекурсивные DNS-серверы и процесс делегирования.
Рекурсивные DNS-серверы представляют собой системы DNS, передающие DNS-запросы в восходящем направлении, чтобы их можно было разрешить и преобразовать из доменного имени в IP-адрес. Эти операции происходят на авторитетных DNS-серверах, где хранится копия записи DNS. Однако, как часть механизма безопасности протокола DNS, авторитетные DNS-серверы также могут делегировать операцию альтернативным DNS-серверам.
Группе исследователей удалось найти способ использования вышеупомянутого процесса делегирования для осуществления DDoS-атак. У NXNSAttack существует множество вариаций, однако основной принцип атаки заключается в следующем:

1. Атакующий отправляет DNS-запрос на рекурсивный DNS-сервер. Запрос предназначается для домена вида attacker.com, управляемого с помощью подконтрольного злоумышленнику авторитетного DNS-сервера;
   


2. Поскольку рекурсивный DNS-сервер не авторизован для разрешения этого доменного имени, он делегирует операцию подконтрольному злоумышленнику авторитетному DNS-серверу;
   


3. Вредоносный DNS-сервер отправляет в ответ рекурсивному DNS-серверу сообщение, буквально означающее «я делегирую эту операцию разрешения доменного имени большому списку серверов». Список содержит тысячи поддоменов атакуемого web-сайта;
   


4. Рекурсивный DNS-сервер переадресовывает DNS-запрос всем поддоменам из списка, тем самым вызывая всплеск трафика для авторитетного DNS-сервера жертвы.

В течение нескольких последних месяцев исследователи вместе с производителями ПО для DNS-серверов, сетями доставки контента и провайдерами управляемых DNS работали над исправлением проблемы по всему миру. В список затронутого уязвимостью ПО входят: ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995), CZ.NIC Knot Resolver (CVE-2020-12667), а также коммерческие сервисы DNS от Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 и ICANN. Администраторам собственных DNS-серверов рекомендуется установить последние версии ПО.