Descrizione e potenziali impatti
La tecnica di attacco denominata NXNSAttack, identificata da un team di accademici israeliani, può essere utilizzata per colpire i server DNS e causare una condizione di Distributed Denial of Service (DDoS) sfruttando una vulnerabilità identificata attraverso i seguenti CVE:
- CVE-2020-8616 (ISC BIND); CVSS 8.6
- CVE-2020-12662 (NLnet Labs Non si applicano restrizioni); CVSS 7.5
- CVE-2020-12667 (NIC.CZ Knot Resolver); CVSS 7.5
- CVE-2020-10995 (PowerDNS Recursor); CVSS 7.5
L’attacco è una delle tecniche DDoS più pericolose finora conosciute a causa del fattore di amplificazione (da 2 a 1.620 volte), che può provocare un pericoloso picco di traffico e rendere il server DNS vittima non più reattivo.
Come indicato dagli stessi autori sul sito di NXNSattack, l’anomalia ha sfaccettature tali da poter essere utilizzata in diverse varianti.
Un tipico scenario di attacco prevede che un malintenzionato possa inviare a un DNS resolver vulnerabile una query DNS non presente nella cache, chiedendo di risolvere il dominio da attaccare che è associato a un server DNS autorevole sempre controllato dagli aggressori. Poiché il server DNS ricorsivo non è autorizzato a risolvere quel dominio, la richiesta è diretta al server DNS autoritario. Dal server DNS autoritativo gli aggressori possono rispondere al server DNS ricorsivo con un messaggio di delega opportunamente preparato contenente un elenco con migliaia di sottodomini falsi senza alcuna corrispondenza IP. Il server DNS ricorsivo viene così sollecitato a inoltrare le richieste DNS a tutti i sottodomini che sono stati comunicati nell’elenco, generando un notevole aumento del traffico verso il server DNS della vittima.
Prodotti e versioni interessate
La falla nella sicurezza che ha permesso l’attacco si ripercuote sul software DNS utilizzato da NLnet Labs Unbound, ISC BIND, NIC.CZ Knot Resolver e PowerDNS, nonché sui servizi DNS forniti da Google, Microsoft, Cloudflare, Amazon, Oracle (DYN), Verisign, IBM Quad9 e ICANN.
Soluzione
I ricercatori hanno informato i principali produttori di DNS che hanno già rilasciato un software correttivo, tra questi:
- ISC BIND (CVE-2020-8616)
- NLnet lab Unbound (CVE-2020-12662)
- PowerDNS (CVE-2020-10995)
- CZ.NIC Knot Resolver (CVE-2020-12667)
Poiché gli attacchi DDoS sono stati il principale vettore degli attacchi e degli incidenti informatici registrati dai fornitori di servizi nel 2019, è molto importante proteggere il servizio DNS e la rispettiva infrastruttura ISP aggiornando i sistemi colpiti e preparando adeguate attività di mitigazione. Queste riguardano principalmente tecnologie DNS proprietarie e comportano, ad esempio, la limitazione del numero di nomi risolti durante l’elaborazione di una singola delega.
A questo proposito, la stessa Microsoft ha emesso un security warning (ADV200009) per la vulnerabilità in questione, con indicazioni utili a mitigare l’anomalia del servizio DNS su Windows.
Riferimenti
Per ulteriori informazioni, consultare il sito web dedicato: http://www.nxnsattack.com/
Microsoft Security Advisory: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200009