Le nouveau bogue DNS TsuNAME permet aux attaquants d'accéder aux serveurs DNS autorisés par DDoS

  • Principal
  • Nouvelles
  • Le nouveau bogue DNS TsuNAME permet aux attaquants d'accéder aux serveurs DNS autorisés par DDoS

Les attaquants peuvent utiliser une vulnérabilité de serveur de noms de domaine (DNS) récemment révélée publiquement connue sous le nom de TsuNAME comme vecteur d'amplification dans des attaques par déni de service distribué (DDoS) basées sur la réflexion à grande échelle ciblant des serveurs DNS faisant autorité.

En termes plus simples, les serveurs DNS faisant autorité traduisent les domaines Web en adresses IP et transmettent ces informations aux serveurs DNS récursifs qui sont interrogés par les navigateurs Web des utilisateurs réguliers lorsqu'ils tentent de se connecter à un site Web spécifique.

Les serveurs DNS faisant autorité sont généralement gérés par des organisations gouvernementales et privées, y compris des fournisseurs de services Internet (FAI) et des géants de la technologie du monde entier.

Utilisation des requêtes DNS sur les serveurs DDoS autorisés

Les attaquants tentent d'exploiter le fichier Vulnérabilité DNS TsuNAME ciblez les résolveurs récursifs vulnérables et surchargez-les avec des serveurs faisant autorité avec un grand nombre de requêtes DNS malveillantes.

'Les résolveurs vulnérables à TsuNAME enverront des requêtes ininterrompues aux serveurs faisant autorité qui ont des enregistrements dépendants cycliques', expliquent les chercheurs dans leur avis de sécurité . [PDF]

'Bien qu'il soit peu probable qu'un résolveur submerge un serveur faisant autorité, l'effet global de nombreux résolveurs récursifs en boucle vulnérables peut également le faire.'

Un impact potentiel après une telle attaque pourrait être le retrait des serveurs DNS faisant autorité directement touchés, ce qui pourrait entraîner des pannes Internet à l'échelle nationale si un domaine de premier niveau de code de pays (ccTLD) est affecté.

'Ce qui rend TsuNAME particulièrement dangereux, c'est qu'il peut être exploité pour mener des attaques DDoS contre des infrastructures DNS critiques, telles que de grands domaines de premier niveau ou des ccTLD, qui peuvent affecter des services spécifiques à un pays.' travail de recherche [PDF] publié après la divulgation explique.

Selon les chercheurs , les résolveurs DNS populaires tels que Unbound, BIND et KnotDNS ne sont pas affectés par l'erreur DNS TsuNAME.

Mesures d'atténuation disponibles

'Nous avons observé une augmentation de 50 % du trafic due à TsuNAME en production dans le trafic .nz, en raison d'une mauvaise configuration et non d'une véritable attaque', ont ajouté les chercheurs.

Les rapports mentionnent également les événements TsuNAME affectant un ccTLD basé dans l'UE qui ont augmenté le trafic DNS entrant d'un facteur 10 en raison de seulement deux domaines ayant une dépendance cyclique mal configurée.

Événement TsuNAME

Événement TsuNAME affectant le ccTLD de l'UE

Cependant, les attaquants ayant accès à plusieurs domaines et à un botnet peuvent faire beaucoup plus de dégâts s'ils configurent mal leurs domaines et commencent à rechercher des résolveurs ouverts.

Heureusement, les atténuations de TsuNAME sont disponibles et nécessitent des modifications du logiciel de résolution récursive, 'y compris les codes de détection de boucle et la mise en cache des enregistrements dépendants cycliques'.

Les opérateurs de serveurs autorisés peuvent également réduire l'impact des attaques TsuNAME en utilisant l'open source CycleHunter outil, qui aide à prévenir de tels événements en détectant et en corrigeant de manière proactive les dépendances cycliques dans vos zones DNS.

Les chercheurs ont déjà utilisé CycleHunter pour scanner environ 184 millions de domaines dans sept TLD, ce qui leur a permis de détecter 44 enregistrements NS cycliques dépendants (probablement causés par une mauvaise configuration) dans environ 1 400 noms de domaine qui pourraient être utilisés à mauvais escient. dans les attaques.

Qu'est-ce que tu penses?