Investigadores israelíes de ciberseguridad han revelado detalles sobre una vulnerabilidad del protocolo DNS que puede explotarse para lanzar ataques de denegación de servicio (DDoS), amplificados y a gran escala para eliminar sitios web específicos.
DNS (en español Sistema de Nombres de Dominio) es un protocolo de Internet utilizado por computadoras, servicios o cualquier recurso conectado a la red de redes. Tiene varios usos, pero el más importante es resolver la IP de la página web o servicio que utilicemos. Para hacerlos funcionar, existen los servidores DNS, equipos dedicados que actúan como medio de intercomunicación entre nosotros y las páginas web que queremos ir visitando. Cuentan con bases de datos enormes en las que están registradas las relaciones entre dominios y sus respectivas direcciones IP.
Obviamente, este protocolo es fundamental para el funcionamiento de Internet y por eso preocupa cualquier problema de seguridad que le afecte. Como la de una serie de ataques DDoS a través de la infame botnet Mirai , incluidos aquellos contra el servicio Dyn DNS en 2016, que llegó a paralizar algunos de los sitios más grandes del mundo, incluidos Twitter, Netflix, Amazon y Spotify.
Denominado NXNSAttack, la nueva vulnerabilidad del protocolo DNS es un fallo que depende del mecanismo de delegación de DNS para obligar a los resolutores de nombres de dominio a generar más consultas a los servidores autorizados de elección del atacante, lo que puede causar una interrupción a escala de botnet en los servicios en línea.
«Mostramos que el número de mensajes DNS intercambiados en un proceso de resolución típico podría ser mucho mayor en la práctica de lo que se espera en teoría, principalmente debido a una resolución proactiva de las direcciones IP de los servidores de nombres», comentan los investigadores en el documento publicado.
Vulnerabilidad del protocolo DNS: NXNSAttack
Una búsqueda DNS recursiva ocurre cuando un servidor DNS se comunica con varios servidores DNS autorizados en una secuencia jerárquica para ubicar una dirección IP asociada con un dominio (por ejemplo, www.google.com) y devolverla al cliente. Esta resolución generalmente comienza con la resolución DNS controlada por sus ISP o servidores DNS públicos, como Cloudflare (1.1.1.1) o Google (8.8.8.8), lo que esté configurado con su sistema.
La resolución pasa la solicitud a un servidor de nombres DNS autorizado si no puede localizar la dirección IP de un nombre de dominio determinado. Pero si el primer servidor de nombres DNS autorizado tampoco contiene los registros deseados, devuelve el mensaje de delegación con direcciones a los siguientes servidores autorizados a los que puede consultar el solucionador DNS.
En la investigación, han mostrado cómo «esta ineficiencia se convierte en un cuello de botella y podría usarse para montar un ataque devastador contra uno o ambos, resolutivos recursivos y servidores autorizados», explican.
Tras la divulgación responsable (previa a su conocimiento público) de NXNSAttack, varias de las compañías a cargo de la infraestructura de Internet, incluidas PowerDNS ( CVE-2020-10995 ), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn, propiedad de Oracle , Verisign e IBM Quad, han parcheado su software para solucionar el problema.
La entrada Una vulnerabilidad del protocolo DNS permite lanzar ataques DDoS a gran escala es original de MuySeguridad. Seguridad informática.
