Seguridad

NXNSAttack: Un Ataque de Denegación de Servicios Distribuidos

By Mayo 22, 2020 No Comments

Una nueva vulnerabilidad descubierta en el servicio DNS abre la puerta a un ataque de denegación distribuido empleando la amplificación como factor de amenaza. Esta vulnerabilidad fue descubierta por académicos de la Universidad de Tel Aviv en Israel y puede conducir a un ataque DDoS de proporciones catastróficas abusando de la recursividad y delegación propia del diseño que posee el servicio DNS.

 

Es necesario, para refrescar la memoria, indicar que el servicio DNS es parte de la columna vertebral que sustenta internet tal y como la conocemos encargándose de la importante tarea como lo es la resolución de nombres hacia direcciones IP. Es decir, de la relación entre su ubicación física y su ubicación virtual, para describirlo de manera más grafica, simplificando la interacción de nosotros los humanos. Un servidor DNS puede ser autoritativo o no autoritativo denominado, este ultimo, también recursivo. Un servidor DNS autoritativo es quien posee en su base de datos local respuesta para el dominio consultado existiendo variados tipos de DNS autoritativo siendo el DNS Root uno de los más icónicos ya que forman parte de los cimientos de internet.

Fuente: Figura 1 – NXNSAttack Paper. http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf 

 

Por otro lado, un DNS no autoritativo o recursivo toma la consulta realizada y la “eleva” con otros servidores DNS hasta obtener una respuesta y entregar esta al cliente que la ha solicitado. Se trata de un procedimiento recursivo donde pueden intervenir dos o más servidores DNS hasta obtener una respuesta autoritativa. Ya que este proceso consume tiempo y recursos, existe la cache DNS local la que nos permite emplear una resolución local mientras su tiempo de vida lo permite (TTL). La anterior imagen presenta el funcionamiento y operación de una arquitectura DNS.

 

Por ultimo, nos queda la delegación, la cual corresponde a la especificación de un determinado servidor DNS para que se encargue de la gestión de una zona determinada (o más de una). Es decir, es la indicación de un DNS autoritativo el cual indica otros servidores DNS como autoritativos para zonas especificas.

 

Con estos conceptos en mente, podemos ahora abordar la amplificación: En términos simples, es la técnica en la cual un ataque se incrementa, como factor, de forma automática aprovechando alguna configuración, funcionalidad o vulnerabilidad. Es decir, es la capacidad de amplificar el poder del ataque (una definición recursiva =D …siguiendo el contexto -.-‘).

 

La investigación de estos académicos israelíes encontró una manera de abusar del proceso de delegación DNS para producir un ataque de denegación de servicios distribuida y amplificado. Para lograr esto, se necesita:

 

1.- Enviar una consulta DNS recursiva al servidor DNS respecto de una zona que es gestionada por un servidor DNS autoritativo del atacante.

2.- El servidor DNS recibirá la consulta y al no ser autoritativo para el dominio consultado (y no estando en su cache local), tomará la consulta y recursivamente la reenviará a otro servidor DNS llegando hasta el servidor autoritativo del atacante.

3.- El servidor DNS autoritativo del atacante responderá con una larga (cientos) lista de servidores delegados indicando que estos se encargan de la resolución de la zona consultada. En esta respuesta, el servidor DNS autoritativo únicamente responde con registros NS sin su correspondiente(s) IP(s) asociada(s).

4.- El servidor DNS envía la consulta recursiva a todos los servidores DNS delegados informados por el servidor DNS autoritativo del atacante.

 

Al factor de amplificación se le denomina PAF por sus siglas en ingles de Packet Amplification Factor y este indicador, PAF, es de 2 a 10 en otros tipos de ataques de DDoS con amplificación. El nivel de amplificación, conforme indican los académicos, para NXNSAttack es de hasta 1620 veces el tamaño inicial de una consulta DNS lo que terminará consumiendo los recursos del servidor DNS provocando un fallo en la disponibilidad del servicio. Es decir, estamos ante un potencial ataque de alto impacto y poco esfuerzo convirtiendo a NXNSAttack en uno de los más peligrosos, si no el más, vector de ataque conocido hasta hoy para el servicio DNS.

Antes de publicar el resultado del estudio, los académicos informaron a todas las casas de software para generar un parche que permita mitigar este comportamiento. Para Microsoft y Bind, los servicios DNS con mayor representatividad, se han publicado indicaciones y actualizaciones respectivamente.

Para Microsoft: Configurar y acotar el parámetro “Response Rate Limit”. https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200009

Para Bind: Se ha publicado el CVE y el parche está disponible para actualizar. https://kb.isc.org/docs/cve-2020-8616

Fuente: http://www.nxnsattack.com/