DNS в опасности: новая атака «MaginotDNS» угрожает крахом всего интернета

Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа разработала новую мощную атаку с отравлением кэша под названием «MaginotDNS», которая нацелена на резолверы условных DNS (CDNS) и может скомпрометировать целые домены верхнего уровня TLD.

Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном программном обеспечении DNS и режимах работы серверов, что делает уязвимой примерно треть всех серверов CDNS.

Исследователи презентовали свою работу на прошедшей недавно конференции Black Hat 2023, сообщив, что выявленные проблемы уже устранены на уровне программного обеспечения.

DNS (Domain Name System) — это иерархическая и распределённая система именования для интернет-ресурсов и сетей, которая помогает преобразовывать удобочитаемые доменные имена в числовые IP-адреса для установки сетевого соединения.

DNS-резолверы (DNS-распознаватели) используют UDP, TCP и DNSSEC для выполнения запросов и получения ответов. Резолверы могут быть итеративными и рекурсивными, включая несколько шагов обмена с корневыми серверами, TLD-серверами, авторитетными серверами.

Концепция отравления DNS-кэша заключается во внедрении поддельных ответов в кэш резолвера, заставляя сервер направлять пользователей, вводящих легитимный домен, по неверным IP-адресам, ведя их на вредоносные веб-сайты без их ведома.

Резолверы CDNS поддерживают как рекурсивный, так и перенаправляющий режим, используемый интернет-провайдерами и корпоративными сетями для снижения затрат и улучшения контроля доступа. Причём именно перенаправляющий режим наиболее уязвим.

Исследователи выявили несоответствия в контрольной проверке известного программного обеспечения DNS, включая BIND9 ( CVE-2021-25220 ), Knot Resolver ( CVE-2022-32983 ), Microsoft DNS и Technitium ( CVE-2021-43105 ).

В некоторых случаях специалисты отметили такие конфигурации, в которых все записи обрабатывались так, как если бы они находились в корневом домене, что является очень уязвимой конфигурацией.

Примеры, представленные исследователями во время презентации BlackHat, включают в себя атаки как на пути (On-path/Inline), так и вне пути (Out-path/Out-of-path). Последние являются более сложными, но и гораздо более ценными для злоумышленников.

Для этих атак хакерам необходимо предсказать исходный порт и идентификатор транзакции, используемые рекурсивными DNS-серверами цели при создании запроса, а затем использовать вредоносный DNS-сервер для отправки поддельных ответов с правильными параметрами.

Вывод исходного порта и угадывание идентификаторов транзакций можно выполнить с помощью брутфорса или с помощью SADDNS.

Исследователи просканировали Интернет и обнаружили 1 200 000 DNS-резолверов, из которых 154 955 являются серверами CDNS. Затем, используя программную идентификацию уязвимых версий, они обнаружили 54 949 уязвимых серверов CDNS, все из которых подвержены атакам по пути следования трафика, а 88,3% подвержены атакам вне пути.

Выявленная исследователями уязвимость представляет серьёзную опасность для стабильного функционирования интернета по нескольким причинам:

• Во-первых, она затрагивает критически важную инфраструктуру – систему доменных имён DNS, которая играет ключевую роль в работе всей глобальной сети. Её сбои или компрометация могут привести к масштабным перебоям в функционировании интернета.
• Во-вторых, масштаб уязвимых серверов очень велик – речь идёт о сотнях тысяч устройств по всему миру. Это открывает хакерам широкие возможности для атак.
• В-третьих, сам механизм атаки довольно изощренный и позволяет обходить многие существующие меры защиты, оставляя DNS-серверы фактически беззащитными.

Все затронутые поставщики программного обеспечения подтвердили наличие уязвимости и исправили их. А Microsoft даже присудила награду исследователям за их отчёт.

Тем не менее, чтобы проблемы были полностью устранены, администраторы CDNS должны применить исправления и следовать рекомендациям по настройке, предоставленным поставщиками.