NXNSAttack : plusieurs vulnérabilités attaquant des serveurs DNS amplifiées "plus de 1 620" fois !

Plusieurs failles exploitant un dysfonctionnements au sein des DNS récursifs pourraient être potentiellement détournées pour établir une attaque DDoS à grande échelle...

 

 

Mises en lumière par des étudiants-chercheurs de l'Université de Tel Aviv (Lior Shafir, Yehuda Afek) et du Centre Interdisciplinaire à Herzliya (Anat Bremier-Barr), ces vulnérabilités profitent d'un problème situés dans les glue-records, les identifiants-IPs des serveurs relatifs à un ou plusieurs domaines. Ceux-ci, absents dans "lors de la réceptions d'une réponse" peuvent  constituer un vecteur d'attaque en cascade.

 

Pour parfaire cet exploit, "un ou plusieurs clients DNS" branchés en réseau sur le Web seraient nécessaires ainsi qu'un nom de domaine intégré au sein d'un serveur compromis ou du cru de l'attaquant. L'amplificateur (Unbound, qui a été mis à jour via un patch correctif : deux failles sont assignées, via CVE-2020-12662 et CVE-2020-12663) se compose de trois éléments : deux attaquants et un DNS en résolution récursive (CVE-2020-12667, relative à Knot Resolver : sont concernés les versions antérieures à 5.1.1). Différentes techniques peuvent permettre une telle attaque : depuis les NS (Name-Server) et depuis n'importe quelle niveau hiérarchique (TLD, SLD...), en utilisant plusieurs clients ou plusieurs NS voire en propageant l'attaque "de manière récursive, en définissant des auto-délégations" ce qui permet à la boucle d'être infinie, en alimentant la requête saine avec des requêtes malveillantes et, donc, sans fin (réponses en proportion...).

 

Un des outils pour tenter de juguler ces failles se nomme Max1Fetch : il s'agit d'une version modifiée de BIND (9.12.3) - CVE-2020-8616 - dont la plupart des fournisseurs ou acteurs technologiques auraient appliqué dès connaissance de ces failles ; le billet cite Google, Amazon, Microsoft, Oracle, Verisign, IBM ou encore l'ICANN. Pour un PoC complet, il faudra patienter jusqu'au 12 Août prochain, date de la 29ième édition d'Usenix security, qui se tiendra aux Etats-Unis, à Boston... A veiller !

 

Source : NXNS - site dédié sur l'attaque DNS.