LA NUEVA VULNERABILIDAD FUE REVELADA POR INVESTIGADORES DE CIBERSEGURIDAD DE ISRAEL

Esta falla afecta el protocolo DNS que puede ser explotado mediante ataques de denegación de servicios distribuidos(DDoS) dirigido para sitios web en especifico.

Llamado NXNSAttack, la falla depende del mecanismo de delegación de DNS para obligar a los proveedores DNS a generar más consultas DNS a los servidores autorizados de elección del atacante, lo que puede causar una interrupción a escala de botnet en los servicios en línea.

“MOSTRAMOS CÓMO ESTA FALLA SE CONVIERTE EN UN CUELLO DE BOTELLA Y PUEDE UTILIZARSE PARA MONTAR UN ATAQUE DESVASTANTE CONTRA SERVIDORES RECURSIVOS Y SERVIDORES AUTORITARIOS”

Tras la divulgación responsable de NXNSAttack, varias de las compañías a cargo de la infraestructura de Internet, incluidas PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn, propiedad de Oracle , Verisign e IBM Quad9, han parcheado su software para solucionar el problema.

La infraestructura de DNS ha estado previamente en la mira de una serie de ataques DDoS a través de la botnet Mirai, incluidos aquellos contra el servicio Dyn DNS en 2016, paralizando algunos de los sitios más grandes del mundo, incluidos Twitter, Netflix, Amazon y Spotify.

EL METODO NXNSAttack

Una búsqueda DNS recursiva ocurre cuando un servidor DNS se comunica con varios servidores DNS autorizados en una secuencia jerárquica para ubicar una dirección IP asociada con un dominio (por ejemplo, www.google.com) y devolverla al cliente.

Esta resolución generalmente comienza con la resolución DNS controlada por sus ISP o servidores DNS públicos, como Cloudflare (1.1.1.1) o Google (8.8.8.8), lo que esté configurado con su sistema.

La resolución pasa la solicitud a un servidor de nombres DNS autorizado si no puede localizar la dirección IP de un nombre de dominio determinado.

Pero si el primer servidor DNS autorizado tampoco contiene los registros deseados, devuelve el mensaje de delegación con direcciones a los siguientes servidores autorizados a los que puede consultar el solucionador DNS.

En otras palabras, un servidor autorizado le dice al solucionador recursivo: “No sé la respuesta, vaya y consulte estos y estos otros DNS, por ejemplo, ns1, ns2, etc.”.

El NXNSAttack funciona enviando una solicitud de un dominio controlado por el atacante (por ejemplo, “attacker.com”) a un servidor DNS vulnerable, que reenviaría la consulta DNS al servidor autorizado controlado por el atacante.

En lugar de devolver direcciones a los servidores autorizados reales, el servidor autorizado controlado por el atacante responde a la consulta DNS con una lista de nombres de servidor falsos o subdominios controlados por hacker de la amenaza que apunta a un dominio DNS víctima.

Se recomienda rápidamente a los administradores de red que ejecutan sus propios servidores DNS actualicen su software de resolución DNS a la última versión.

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *