Un equipo de investigadores de la Universidad de California, Irvine, y la Universidad Tsinghua ha desarrollado un ataque de envenenamiento de caché DNS llamado «MaginotDNS«, que tiene como objetivo los resolutores DNS condicionales (CDNS) y puede comprometer dominios de nivel superior completos (TLDs).
Este ataque es posible debido a inconsistencias en la implementación de controles de seguridad en distintos tipos de software y modos de servidor DNS (resolutores recursivos y reenviadores), lo que deja a aproximadamente un tercio de todos los servidores CDNS vulnerables.
Los investigadores presentaron este ataque junto con su informe durante la conferencia Black Hat 2023 a principios de esta semana, indicando que las vulnerabilidades identificadas ya han sido corregidas a nivel de software.
El Sistema de Nombres de Dominio (por sus siglas en inglés, DNS) es una infraestructura jerárquica y distribuida que resuelve nombres de dominio legibles por humanos en direcciones IP numéricas, facilitando las conexiones en la red.
Un ataque de envenenamiento de caché DNS implica la inserción de respuestas falsificadas en la caché del resolutor DNS, lo que puede llevar a los usuarios a ser redirigidos a direcciones IP incorrectas, incluso a sitios web maliciosos, sin su conocimiento.
A pesar de las defensas implementadas para mitigar este tipo de ataques, el ataque «MaginotDNS» ha demostrado su capacidad para superar estas barreras, ya sea atacando el modo de reenvío de los CDNS desde una posición en ruta (on-path) o desde fuera de la ruta (off-path). Esto es especialmente preocupante, ya que los resolutores CDNS admiten modos de consulta recursiva y de reenvío, ampliamente utilizados por proveedores de servicios de Internet y empresas para reducir costos y mejorar el control de acceso.
Los investigadores identificaron inconsistencias en la verificación de ámbito (bailiwick) en algunos softwares DNS destacados, donde están incluidos algunos como BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS y Technitium (CVE-2021-43105).
Para llevar a cabo estos ataques, el atacante debe predecir el puerto de origen y el ID de transacción utilizados por los servidores DNS recursivos del objetivo al generar una solicitud, y luego utilizar un servidor DNS malicioso para enviar respuestas falsificadas con los parámetros correctos.
La inferencia del puerto de origen y el adivinado de los IDs de transacción se pueden realizar mediante fuerza bruta o mediante SADDNS (ataque de canal lateral DNS). Para BIND9, ambos parámetros se pueden recuperar con éxito después de 3,600 rondas de consulta, mientras que para Microsoft DNS, esto se reduce a 720 rondas.
Para aumentar las posibilidades de éxito, el atacante debe controlar el tiempo de respuesta de las respuestas DNS maliciosas para asegurarse de que su respuesta falsificada llegue al servidor de la víctima antes que la legítima.
Este ataque tiene un gran alcance y es que escaneando Internet, los investigadores encontraron 1,200,000 resolutores DNS, de los cuales 154,955 son servidores CDNS. Luego, utilizando huellas digitales del software para identificar versiones vulnerables, descubrieron 54,949 servidores CDNS vulnerables, todos los cuales son susceptibles a ataques en ruta y el 88.3% se ven afectados por ataques fuera de ruta.
Todos los proveedores de software mencionados anteriormente han confirmado y solucionado las fallas, e incluso algunos, como Microsoft ha recompensado a los investigadores por su informe.
Sin embargo, para que los problemas se mitiguen completamente, los administradores de CDNS deben aplicar los parches y seguir las directrices de configuración proporcionadas por los proveedores.
Más información:
- https://www.usenix.org/conference/usenixsecurity23/presentation/li-xiang
- https://www.youtube.com/watch?v=kb12hgocIAw
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25220
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32983
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43105
Deja una respuesta