MaginotDNS é um poderoso ataque de envenenamento de cache contra servidores DNS
Durante a conferência "Black Hat USA 2023" realizada há alguns dias, um grupo de pesquisadores revelou informações sobre uma vulnerabilidade que descobriram com o codinome MaginotDNS.
Em relação à vulnerabilidade "MaginotDNS", é mencionado que permite a substituição de registros NS incorretos no cache dos servidores DNS, que são usados simultaneamente para redirecionamento de solicitação e resolução de nome. Um ataque bem-sucedido pode resultar no acesso a servidores DNS incorretos que fornecem informações falsas sobre o domínio de destino, e o invasor pode substituir zonas DNS inteiras, incluindo aquelas para domínios de nível superior.
Por meio de testes de campo, descobrimos que o ataque é poderoso, permitindo que invasores assumam zonas DNS inteiras, incluindo domínios de nível superior (por exemplo, .com e .net). Por meio de um estudo de medição em larga escala, também confirmamos o uso extensivo de CDNS em redes do mundo real (até 41,8% de nossos servidores DNS abertos testados) e descobrimos que pelo menos 35,5% de todos os CDNS são vulneráveis ao MaginotDNS.
Os investigadores mencionam que a possibilidade de falsificar registros NS para outro domínioou é causado por um erro no algoritmo de validação Bailiwick usado nos servidores DNS, que não permite a aceitação de servidores de nomes que não estejam diretamente associados ao domínio solicitado.
Em uma situação em que o servidor DNS pode operar nos modos resolvedor e encaminhador ao mesmo tempo, a verificação Bailiwick é executada apenas no modo resolvedor, mas não é usada no modo encaminhador. Como ambos os modos usam um cache de servidor DNS comum, esse recurso pode ser usado para forjar registros de solicitação no modo resolvedor por meio de envenenamento de cache ao lidar com solicitações e respostas no modo encaminhador.
Nosso estudo chama a atenção para a inconsistência na implementação da lógica de verificação de segurança em diferentes modos de servidor DNS e software (ou seja, resolvedores e encaminhadores recursivos) e pedimos padronização e acordos entre fornecedores de software.
Dentro das provas de conceito, os pesquisadores propuseram duas variantes do ataque:
- A primeira variante é "off-path" e pode ser viável quando o invasor não consegue interceptar o tráfego entre o servidor DNS atacado e o servidor DNS upstream usado como "forwarder-à"
- O segundo ataque proposto é "on-path" e pode ser viável quando um invasor pode interceptar solicitações de DNS entre o servidor DNS atacado e o encaminhador.
No modo on-path, quando o invasor recebia informações sobre o número da porta de rede da solicitação DNS de saída durante a análise de tráfego, o ataque fazia uma solicitação para o domínio controlado pelo invasor, levando a uma chamada para o servidor DNS do invasor e, ao mesmo tempo, respostas fictícias são enviadas com dados sobre registros NS para o domínio ".com", que são armazenados em cache.
Em março de 2022, os pesquisadores conduziram uma análise de rede global que identificou 154 servidores DNS acessíveis ao público potencialmente atacáveis operando simultaneamente no modo de redirecionamento e resolução. Destes, 955 servidores DNS (54949%) usavam software vulnerável.
Todos os servidores DNS vulneráveis foram submetidos a um ataque "on-path", que foi executado quando o tráfego entre o servidor DNS e o encaminhador pôde ser interceptado. A variante de ataque off-path, em que o invasor não controlava o tráfego, afetou 88,3% dos servidores vulneráveis.
Além disso, é relatado que o ataque foi confirmado para servidores DNS como BIND, Knot, Technitium e Microsoft DNS, enquanto os servidores Unbound, MaraDNS e PowerDNS não são afetados pelo ataque. No BIND (CVE-2021-25220) e no Knot (CVE-2022-32983), as vulnerabilidades de ataque foram corrigidas no início de 2022.
Finalmente Se você estiver interessado em saber mais sobre issoOu, você pode verificar os detalhes no link a seguir