RO
20.05.2020

Уязвимость DNS NXNS Attack

Pe 19 Mai, o nouă vulnerabilitate a protocolului DNS a fost făcută publică. Vulnerabilitatea dezvăluită abuzează mecanismul de delegare DNS pentru a forţa rezolvatorii DNS să genereze mai multe interogări DNS pe serverele autorizate la alegerea atacatorului. Spre deosebire de atacurile aleatorii de sub-domeniu, în cazul acestui atac, interogările sunt generate de însuşi rezolvator [T2]. 

Cercetătorii au numit acest atac NXNSAttack şi se pare că aproape toţi furnizorii de DNSresolvers sunt afectaţi (consultaţi secţiunea “Dispozitive potenţial afectate”).

O mulţime de programe software DNS ar putea fi afectate (consultaţi secţiunea “Dispozitive potenţial afectate”).
Următorul tabel prevede problema vulnerabilităţilor per software:

DNS server

CVE Id

Short evaluation

NLnet labs Unbound

CVE-2020-12662

Insufficient Control of Network Message Volume.

CVE-2020-12663

Malformed answers from upstream name servers can be used to make Unbound unresponsive. This vulnerability is not directly associated to NXNSAttack but resolved with the same Unbound version.

CZ.NIC Knot Resolver

CVE-2020-12667

Traffic amplification via a crafted DNS answer from an attacker-controlled server, aka an "NXNSAttack" issue.

ISC BIND

CVE-2020-8616

A malicious actor who intentionally exploits this lack of effective limitation on the number of fetches performed when processing referrals can, through the use of specially crafted referrals, cause a recursing server to issue a very large number of fetches in an attempt to process the referral.

PowerDNS

CVE-2020-10995

Weakness about amplification attacks. An issue in the DNS protocol has been found that allow malicious parties to use recursive DNS services to attack third party authoritative name servers. The attack uses a crafted reply by an authoritative name server to amplify the resulting traffic between the recursive and other authoritative name servers. Both types of service can suffer degraded performance as an effect.


Dispozitive potenţial afectate:
•    NLnet labs Unbound toate versiunile până la 1.10.1
•    CZ.NIC Knot Resolver toate versiunile până la 5.1.1
•    ISC BIND:
o    9.0.0 până la 9.11.18
o    9.12.0 până la 9.12.4-P2
o    9.13.x
o    9.14.0 până la 9.14.11
o    9.15.x
o    9.16.0 până la 9.16.2
o    9.17.0 până la 9.17.1
•    PowerDNS de la 4.1.0 până la inclusiv 4.3.0
•    Cloudfare
•    Google
•    Amazon
•    Microsoft
•    Oracle (DYN)
•    VerisignIBM Quad 9

Orange Moldova CERT recomandă actualizarea serverelor DNS la cea mai recentă versiune neafectată.