Контакты
Подписка 2024
Защищенный Linux
13 июня. Кибербезопасность предприятия и защита инфраструктуры и приложений от современных угроз
Регистрируйтесь на онлайн-конференцию!

DNS в опасности от новой атаки «MaginotDNS»

15/08/23


En-Types-of-DNS-Cover-1440x720

Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа разработала новую мощную атаку с отравлением кэша под названием «MaginotDNS», которая нацелена на резолверы условных DNS (CDNS) и может скомпрометировать целые домены верхнего уровня TLD.

Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном программном обеспечении DNS и режимах работы серверов, что делает уязвимой примерно треть всех серверов CDNS, пишут в Securitylab.

Исследователи презентовали свою работу на прошедшей недавно конференции Black Hat 2023, сообщив, что выявленные проблемы уже устранены на уровне программного обеспечения.

DNS (Domain Name System) — это иерархическая и распределённая система именования для интернет-ресурсов и сетей, которая помогает преобразовывать удобочитаемые доменные имена в числовые IP-адреса для установки сетевого соединения.

DNS-резолверы (DNS-распознаватели) используют UDP, TCP и DNSSEC для выполнения запросов и получения ответов. Резолверы могут быть итеративными и рекурсивными, включая несколько шагов обмена с корневыми серверами, TLD-серверами, авторитетными серверами.

Концепция отравления DNS-кэша заключается во внедрении поддельных ответов в кэш резолвера, заставляя сервер направлять пользователей, вводящих легитимный домен, по неверным IP-адресам, ведя их на вредоносные веб-сайты без их ведома.

Резолверы CDNS поддерживают как рекурсивный, так и перенаправляющий режим, используемый интернет-провайдерами и корпоративными сетями для снижения затрат и улучшения контроля доступа. Причём именно перенаправляющий режим наиболее уязвим.

Исследователи выявили несоответствия в контрольной проверке известного программного обеспечения DNS, включая BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS и Technitium (CVE-2021-43105).

В некоторых случаях специалисты отметили такие конфигурации, в которых все записи обрабатывались так, как если бы они находились в корневом домене, что является очень уязвимой конфигурацией.

Примеры, представленные исследователями во время презентации BlackHat, включают в себя атаки как на пути (On-path/Inline), так и вне пути (Out-path/Out-of-path). Последние являются более сложными, но и гораздо более ценными для злоумышленников.

Для этих атак хакерам необходимо предсказать исходный порт и идентификатор транзакции, используемые рекурсивными DNS-серверами цели при создании запроса, а затем использовать вредоносный DNS-сервер для отправки поддельных ответов с правильными параметрами.

Вывод исходного порта и угадывание идентификаторов транзакций можно выполнить с помощью брутфорса или с помощью SADDNS.

Исследователи просканировали Интернет и обнаружили 1 200 000 DNS-резолверов, из которых 154 955 являются серверами CDNS. Затем, используя программную идентификацию уязвимых версий, они обнаружили 54 949 уязвимых серверов CDNS, все из которых подвержены атакам по пути следования трафика, а 88,3% подвержены атакам вне пути.

Выявленная исследователями уязвимость представляет серьёзную опасность для стабильного функционирования интернета по нескольким причинам:

  • Во-первых, она затрагивает критически важную инфраструктуру – систему доменных имён DNS, которая играет ключевую роль в работе всей глобальной сети. Её сбои или компрометация могут привести к масштабным перебоям в функционировании интернета.
  • Во-вторых, масштаб уязвимых серверов очень велик – речь идёт о сотнях тысяч устройств по всему миру. Это открывает хакерам широкие возможности для атак.
  • В-третьих, сам механизм атаки довольно изощренный и позволяет обходить многие существующие меры защиты, оставляя DNS-серверы фактически беззащитными.

Все затронутые поставщики программного обеспечения подтвердили наличие уязвимости и исправили их. А Microsoft даже присудила награду исследователям за их отчёт.

Тем не менее, чтобы проблемы были полностью устранены, администраторы CDNS должны применить исправления и следовать рекомендациям по настройке, предоставленным поставщиками.

Темы:УгрозыDNSуниверситетские исследования
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...