Nueva vulnerabilidad en DNS puede explotar sus principios más esenciales para distribuir ataques DDoS

Un equipo de investigadores ha descubierto una vulnerabilidad en el Sistema de Nombres de Dominio (DNS) que podría explotarse para lanzar ataques Distribuidos de Negación de Servicio en cantidades masivas y con muy pocos recursos. La vulnerabilidad recibió el nombre de NXNSAttack, y se encuentra el mecanismo de delegación de DNS.

Los investigadores Lior Shafir y Yehuda Afek de la Universidad de Tel Aviv, y Anat Bremler-Barr del Centro Interdisciplinario Herzliya, descubrieron el problema y alertaron sobre sus particularidades y peligros.

Los investigadores explicaron que la vulnerabilidad puede dar paso a que se fuerce a los resolutores DNS a generar más solicitudes de las necesarias. Esto puede ser explotado por un atacante, que puede utilizar esta falla para saturar con estas solicitudes un sitio web de su elección hasta dejarlo inoperante. El ataque puede ampliar más de 1.620 veces la cantidad de paquetes que se intercambian.

Los investigadores aseguran que informaron a las organizaciones correspondientes con anticipación para darles tiempo de desarrollar un parche, pero que uno de los problemas es que la vulnerabilidad no se puede parchar del todo, sólo se pueden ofrecer medidas de contención ante ataques NXNSAttack.

“Por desgracia, NXNSAttack abusa del principio más básico del protocolo DNS, lo que en esencia implica que no existe una solución, sólo formas de mitigarlo”, dijo Petr Špaček, que colaboró a en la investigación de los expertos israelíes desde la República Checa.

Aun así, las compañías afectadas no se están quedando con los brazos cruzados y proveedores de servicios web y en la nube como Google, Microsoft, Amazon Web Services y Cloudfare han parchado sus sistemas para evitar ser víctima de este ataque.

Microsoft ya ha lanzado la alerta ADV200009 para mitigar los ataques DNS que abusen de NXNSAttack.

“Para explotar esta vulnerabilidad, un atacante necesita tener acceso a al menos un cliente y dominio que responda con una gran cantidad de registros de referencia, sin DNS asociados, que dirijan a subdominios externos de la víctima. Mientras se resuelve el nombre del cliente del atacante, por cada registro de referencia que se encuentra, se resuelve contactar el dominio de la víctima. Esto puede generar una gran cantidad de comunicaciones entre la resolución y el servidor DNS, lo que causa un ataque Distribuido de Negación de Servicio (DDoS)”, explicó Microsoft.

Es por esto que, para mitigar el ataque, Microsoft ha puesto a disposición la herramienta Set-DnsServerResponseRateLimiting, que limita la cantidad de respuestas que se envían al servidor. Esto evitará que un servidor DNS de Windows se utilice para amplificar un ataque contra otro cliente, pero no evita que el servidor mismo sea atacado.

Fuentes

NXNSAttack technique can be abused for large-scale DDoS attacks • ZDNet
Microsoft issues mitigation for the NXNSAttack DNS DDoS attack • Bleeping Computer
Researchers warn of unfixable DNS denial of service NXNSAttack • IT News