Come impostare DNS Fonte foto: 123rf
SICUREZZA INFORMATICA

Una nuova vulnerabilità legata al DNS potrebbe essere la chiave per massicci attacchi DDoS

Di Pierguido Iezzi

Secondo uno studio appena concluso in Israele, una nuova falla nel protocollo DNS potrebbe essere sfruttata per lanciare attacchi DDoS (Denial-of-Service) amplificati e su larga scala per mettere in seria difficoltà siti Web mirati.

Chiamato NXNSAttack, la vulnerabilità si basa sul meccanismo di delega DNS, costringendo i resolver DNS a generare più query DNS nei confronti dei bersagli dei Criminal Hacker (ricerca DNS ricorsiva), causando potenzialmente un’interruzione su scala botnet dei servizi online.

I ricercatori hanno dimostrato come il numero di messaggi DNS scambiati in un tipico processo di risoluzione potrebbe essere molto più alto in pratica di quanto ci si aspetta in teoria.

Questa inefficienza diventa un collo di bottiglia e può essere usata per montare un attacco devastante contro dei server bersaglio.

In seguito al Vulnerability Disclosure in merito a questo NXNSAttack, diverse delle società responsabili, tra cui PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn di proprietà di Oracle, Verisign e IBM Quad9, hanno applicato delle patch al loro software per affrontare il problema.

L’infrastruttura DNS è stata in precedenza al centro di un’ondata di attacchi DDoS attraverso la famigerata rete bot Mirai, compresi quelli contro il servizio Dyn DNS nel 2016, che ha paralizzato alcuni dei più grandi siti del mondo, tra cui Twitter, Netflix, Amazon e Spotify.

Il metodo NXNSAttack

Una ricerca DNS ricorsiva avviene quando un server DNS comunica con più server DNS autoritativi in sequenza gerarchica per individuare un indirizzo IP associato a un dominio (ad es. www.google.com) e restituirlo al client.

Questa risoluzione inizia tipicamente con il resolver DNS controllato dal vostro ISP o da server DNS pubblici, come Cloudflare (1.1.1.1.1) o Google (8.8.8.8.8), a seconda di quale dei due è configurato con il vostro sistema.

Il resolver passa la richiesta a un server di nomi DNS autoritativo se non è in grado di individuare l’indirizzo IP di un determinato nome di dominio.

Ma se anche il primo server di nomi DNS autoritativi non contiene i record desiderati, restituisce il messaggio di delega con gli indirizzi ai server autoritativi successivi ai quali il resolver DNS può effettuare la richiesta.

In altre parole, un server autoritativo dice al resolver ricorsivo: “Non so la risposta, vai a interrogare questi altri server”.

Questo processo gerarchico prosegue fino a quando il DNS resolver raggiunge il server autoritativo corretto che fornisce l’indirizzo IP del dominio, permettendo all’utente di accedere al sito web desiderato.

I ricercatori hanno scoperto che questo processo di richieste indesiderate può essere sfruttato per ingannare i resolver ricorsivi e far sì che questi inviino continuamente un gran numero di pacchetti a un dominio mirato invece che a server legittimi in grado di gestire la richiesta.

Per montare l’attacco attraverso un resolver ricorsivo, quindi, l’aggressore deve essere in possesso di un server autorevole.

Ciò può essere facilmente ottenuto acquistando un nome di dominio.

L’NXNSAttack funziona inviando una richiesta per un dominio controllato dall’aggressore (ad es. “attacker.com”) a un server di risoluzione DNS vulnerabile, che inoltra la richiesta DNS al server autoritativo controllato dall’aggressore.

Invece di rinviare gli indirizzi ai server autorizzati effettivi, il server controllato dall’aggressore risponde alla richiesta DNS con un elenco di nomi di server o sottodomini falsi controllati dall’attacante che puntano a un dominio DNS della vittima.

Il server DNS inoltra quindi la query a tutti i sottodomini inesistenti, creando un massiccio aumento del traffico verso il sito della vittima.

I ricercatori hanno detto che l’attacco può amplificare il numero di pacchetti scambiati dal resolver ricorsivo di un fattore superiore a 1.620, in modo da travolgere non solo i resolver DNS con più richieste che possono gestire, ma anche inondare il dominio di destinazione con richieste superflue e abbatterlo.

Inoltre, l’utilizzo di una botnet come il Mirai come client DNS può aumentare ulteriormente la portata dell’attacco.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963