Fejlimplementeringer i DNS resolvere gør det muligt at foretage "application-layer" loops

Af Henrik Jensen, 25/03/24

Application-layer loops er en form for (D)DoS-angreb. Ondsindede aktører kan potentielt oprette sådanne loops, hvis for eksempel to tjenester, der reagerer med en fejl meddelelse, når der modtages en fejl meddelelse som input. Hvis input skaber en fejl som output, og et andet system opfører sig på samme måde, vil disse to systemer blive ved med at sende fejlmeddelelser frem og tilbage i det uendelige.

For at illustrere angrebsvektoren kan man forestille dig to DNS-resolvere med en sådanne reaktionsmønstre, hvis der er fejl i det generede input.

Hvis input er fejlbehæftet, vil det skabe en anden fejl som output på forespørgslen mellem de to systemer. Derefter vil de to systemer stå og udveksle fejlmeddelelser i en uendelighed - på ubestemt tid. Dermed er der etableret et "fejl loop" mellem to endheder. Når en af enhederne først er injiceret med disse fejl, vil de sårbare servere konstant sende DNS-fejlmeddelelser frem og tilbage, hvilket vil munde ud i en D(D)oS tilstand.

Applikations loops er foreløbig konstateret i visse TFTP-, DNS- og NTP-implementeringer. Ikke alle protokoller er testet, der er udelukkende fokuseret på de mest udbredte (TFTP, DNS, NTP).

Det anbefales, at reducere angrebsvektorer, man kan f.eks. opdatere eller lukke for sårbare services. Overvej om de sårbare services skal være tilgængelige på en DNS resolver, hvis ikke, tag servicen offline. Hvis servicen er nødvendig, så begræns adgangen til servicen med TCP porte.

Kilde: https://docs.google.com/document/u/0/d/1KByZzrdwQhrXGPPCf9tUzERZyRzg0xOpGbWoDURZxTI/mobilebasic?pli=1

Keywords:

sårbarheder