Ny DNS-sårbarhed bruges som forstærkningsvektor

Ny TsuNAME DNS-sårbarhed tillader angribere at DDoS-autorisere DNS-servere.

Angribere har fået et nyt våben til DDoS-angreb. Det er sket med en nyligt offentliggjort domænenavnserver (DNS)-sårbarhed, kendt som TsuNAME, der kan anvendes som en forstærkningsvektor i store refleksionsbaserede DdoS-angreb, hvilket er målrettet mod autoritative DNS-servere. Det skriver Bleeping Computer.

Autoritative DNS-servere oversætter webdomæner til IP-adresser og videregiver denne information til rekursive DNS-servere, der er forespurgt af almindelige brugeres webbrowsere, når de prøver at oprette forbindelse til et bestemt websted.

Autoritative DNS-servere administreres almindeligvis af både offentlige og private organisationer, herunder internetudbydere (ISP'er).

Brug af DNS-forespørgsler til at DDoS-autorisere servere

Angribere, der forsøger at udnytte TsuNAME DNS-sårbarheden, retter sig mod sårbare rekursive resolvere og overvælder disse autoritative servere med store mængder ondsindede DNS-forespørgsler. En mulig indvirkning efter et sådant angreb kan være fjernelse af direkte påvirkede autoritative DNS-servere, hvilket potentielt kan medføre landsdækkende internetafbrydelser, specielt hvis et country code top level domain (ccTLD) påvirkes. Det, der kan gøre TsuNAME særligt farlig, er således, at det kan udnyttes til at udføre DdoS-angreb mod kritisk DNS-infrastruktur såsom store TLD'er eller ccTLD'er, der potentielt kan påvirke landespecifikke tjenester.

Ifølge researcherne er udbredte DNS-resolvere såsom KnotDNS, Unbound og BIND ikke påvirket af TsuNAME DNS sårbarheden.

Afbødende muligheder til rådighed

Angribere med adgang til flere domæner og et botnet kan gøre en del skade, hvis de miskonfigurerer deres domæner og begynder at kigge efter åbne resolvere.

Heldigvis er der mitigeringsmuligheder tilgængelige mod TsuNAME, og de kræver ændringer i rekursiv resolversoftware ved at inkludere loop detection koder og cache-cykliske afhængige poster.

Autoritative serveroperatører kan også reducere indvirkningen af ​​TsuNAME-angreb ved hjælp af open source-værktøjet CycleHunter, som hjælper med at forhindre sådanne hændelser ved at identificere og rette forebyggende mod cykliske afhængigheder i deres DNS-zoner.

Researcherne har allerede brugt CycleHunter til at undersøge omkring 184 millioner domæner i syv TLD'er, hvilket gjorde det muligt for dem at opdage 44 cykliske afhængige NS poster (sandsynligvis forårsaget af miskonfigurationer) på cirka 1.400 domænenavne, der potentielt kunne misbruges i et angreb.

Links:

https://www.bleepingcomputer.com/news/security/new-tsuname-dns-bug-allows-attackers-to-ddos-authoritative-dns-servers/
https://tsuname.io/advisory.pdf