DNS в опасности от новой атаки «MaginotDNS»
15/08/23
Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа разработала новую мощную атаку с отравлением кэша под названием «MaginotDNS», которая нацелена на резолверы условных DNS (CDNS) и может скомпрометировать целые домены верхнего уровня TLD.
Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном программном обеспечении DNS и режимах работы серверов, что делает уязвимой примерно треть всех серверов CDNS, пишут в Securitylab.
Исследователи презентовали свою работу на прошедшей недавно конференции Black Hat 2023, сообщив, что выявленные проблемы уже устранены на уровне программного обеспечения.
DNS (Domain Name System) — это иерархическая и распределённая система именования для интернет-ресурсов и сетей, которая помогает преобразовывать удобочитаемые доменные имена в числовые IP-адреса для установки сетевого соединения.
DNS-резолверы (DNS-распознаватели) используют UDP, TCP и DNSSEC для выполнения запросов и получения ответов. Резолверы могут быть итеративными и рекурсивными, включая несколько шагов обмена с корневыми серверами, TLD-серверами, авторитетными серверами.
Концепция отравления DNS-кэша заключается во внедрении поддельных ответов в кэш резолвера, заставляя сервер направлять пользователей, вводящих легитимный домен, по неверным IP-адресам, ведя их на вредоносные веб-сайты без их ведома.
Резолверы CDNS поддерживают как рекурсивный, так и перенаправляющий режим, используемый интернет-провайдерами и корпоративными сетями для снижения затрат и улучшения контроля доступа. Причём именно перенаправляющий режим наиболее уязвим.
Исследователи выявили несоответствия в контрольной проверке известного программного обеспечения DNS, включая BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS и Technitium (CVE-2021-43105).
В некоторых случаях специалисты отметили такие конфигурации, в которых все записи обрабатывались так, как если бы они находились в корневом домене, что является очень уязвимой конфигурацией.
Примеры, представленные исследователями во время презентации BlackHat, включают в себя атаки как на пути (On-path/Inline), так и вне пути (Out-path/Out-of-path). Последние являются более сложными, но и гораздо более ценными для злоумышленников.
Для этих атак хакерам необходимо предсказать исходный порт и идентификатор транзакции, используемые рекурсивными DNS-серверами цели при создании запроса, а затем использовать вредоносный DNS-сервер для отправки поддельных ответов с правильными параметрами.
Вывод исходного порта и угадывание идентификаторов транзакций можно выполнить с помощью брутфорса или с помощью SADDNS.
Исследователи просканировали Интернет и обнаружили 1 200 000 DNS-резолверов, из которых 154 955 являются серверами CDNS. Затем, используя программную идентификацию уязвимых версий, они обнаружили 54 949 уязвимых серверов CDNS, все из которых подвержены атакам по пути следования трафика, а 88,3% подвержены атакам вне пути.
Выявленная исследователями уязвимость представляет серьёзную опасность для стабильного функционирования интернета по нескольким причинам:
- Во-первых, она затрагивает критически важную инфраструктуру – систему доменных имён DNS, которая играет ключевую роль в работе всей глобальной сети. Её сбои или компрометация могут привести к масштабным перебоям в функционировании интернета.
- Во-вторых, масштаб уязвимых серверов очень велик – речь идёт о сотнях тысяч устройств по всему миру. Это открывает хакерам широкие возможности для атак.
- В-третьих, сам механизм атаки довольно изощренный и позволяет обходить многие существующие меры защиты, оставляя DNS-серверы фактически беззащитными.
Все затронутые поставщики программного обеспечения подтвердили наличие уязвимости и исправили их. А Microsoft даже присудила награду исследователям за их отчёт.
Тем не менее, чтобы проблемы были полностью устранены, администраторы CDNS должны применить исправления и следовать рекомендациям по настройке, предоставленным поставщиками.