MaginotDNS е мощна атака за отравяне на кеша срещу DNS сървъри
По време на конференцията "Black Hat USA 2023", която се проведе преди няколко дни, разкрива група изследователи информация за открита от тях уязвимост с кодово име MaginotDNS.
По отношение на уязвимостта "MaginotDNS" се споменава, че позволява подмяна на неправилни NS записи в кеша на DNS сървърите, които се използват едновременно за пренасочване на заявки и разрешаване на имена. Успешната атака може да доведе до достъп до неправилни DNS сървъри, които предоставят невярна информация за целевия домейн, а атакуващият може да замени цели DNS зони, включително тези за домейни от първо ниво.
Чрез полеви тестове установихме, че атаката е мощна, позволявайки на нападателите да превземат цели DNS зони, включително домейни от първо ниво (напр. .com и .net). Чрез широкомащабно измервателно проучване ние също потвърдихме широкото използване на CDNS в мрежи от реалния свят (до 41,8% от нашите тествани отворени DNS сървъри) и установихме, че поне 35,5% от всички CDNS са уязвими към MaginotDNS.
Изследователите споменете, че възможността за подправяне на NS записи за друг домейнили е причинено от грешка в алгоритъма за валидиране на Bailiwick, използван в DNS сървърите, който не позволява приемането на сървъри за имена, които не са пряко свързани с искания домейн.
В ситуация, в която DNS сървърът може да работи едновременно в режими на резолвер и препращач, проверката на Bailiwick се извършва само в режим на резолвер, но не се използва в режим на препращане. Тъй като и двата режима използват общ кеш на DNS сървъра, тази функция може да се използва за фалшифициране на записи на заявки в режим на резолвер чрез отравяне на кеша при обработка на заявки и отговори в режим на пренасочване.
Нашето проучване насочва вниманието към несъответствието в прилагането на логиката за проверка на сигурността в различните режими на DNS сървър и софтуер (т.е. рекурсивни преобразуватели и препращащи устройства) и призоваваме за стандартизация и споразумения между доставчиците на софтуер.
В рамките на доказателствата за концепцията, изследователите предложиха два варианта на атаката:
- Първият вариант е "off-path" и може да бъде жизнеспособен, когато атакуващият не може да прихване трафика между атакувания DNS сървър и DNS сървъра нагоре по веригата, използван като "forwarder-а"
- Втората предложена атака е "по пътя" и това може да бъде осъществимо, когато нападателят може да прихване DNS заявки между атакувания DNS сървър и пренасочващия.
В режим на движение, когато атакуващият получи информация за номера на мрежовия порт на изходящата DNS заявка по време на анализ на трафика, атаката направи заявка за домейна, контролиран от атакуващия, което доведе до обаждане до DNS сървъра на атакуващия и, в същото време се изпращат фиктивни отговори с данни за NS записи за домейна ".com", които се кешират.
През март 2022 г. изследователите проведоха глобален мрежов анализ, който идентифицира 154 955 потенциално атакуеми публично достъпни DNS сървъра, работещи едновременно в режим на пренасочване и резолвер. От тях 54949 35,5 DNS сървъра (XNUMX%) са използвали уязвим софтуер.
Всички уязвими DNS сървъри бяха обект на атака "на пътя", която беше извършена, когато трафикът между DNS сървъра и пренасочващия може да бъде прихванат. Вариантът на атака извън пътя, при който нападателят не контролира трафика, е засегнал 88,3% от уязвимите сървъри.
Освен това се съобщава, че атаката е потвърдена за DNS сървъри като BIND, Knot, Technitium и Microsoft DNS, докато сървърите Unbound, MaraDNS и PowerDNS не са засегнати от атаката. В BIND (CVE-2021-25220) и Knot (CVE-2022-32983), уязвимостите при атака бяха коригирани в началото на 2022 г.
Накрая Ако се интересувате да научите повече за товаИли можете да проверите подробностите в следваща връзка.