21 mayo, 2020

9VSA20-00221-01 CSIRT comparte información sobre vulnerabilidad en protocolo DNS

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información acerca de una vulnerabilidad en el protocolo DNS que afecta a todas los servidores que presten el servicio, ya sea opensource o comerciales.

Vulnerabilidad

CVE-2020-8616

CVE-2020-12662

CVE-2020-10995

CVE-2020-12667

Además de servicios DNS comerciales como Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 e ICANN, quienes han parchado sus productos.

Impacto

Académicos de la Universidad de Tel Aviv y el Centro Interdisciplinario en Herzliya, Israel, han revelado detalles sobre una nueva falla que afecta el protocolo DNS que puede explotarse para lanzar ataques de denegación de servicio (DDoS) amplificados y a gran escala para atacar sitios web específicos, a esta falla la han denominado NXNSAttack.

La técnica NXNSAttack tiene diferentes facetas y variaciones, pero los pasos básicos se detallan a continuación:

1) Un atacante envía una consulta DNS a un servidor DNS recursivo. La solicitud es para un dominio como «attacker.com», que se administra a través de un servidor DNS autoritativo controlado por el atacante.

2) Dado que el servidor DNS recursivo no está autorizado para resolver este dominio, reenvía la operación al servidor DNS autoritativo malintencionado del atacante.

3) El servidor DNS malicioso responde al servidor DNS recursivo con un mensaje que equivale a «Estoy delegando esta operación de resolución de DNS a esta gran lista de servidores de nombres». La lista contiene miles de subdominios para un sitio web víctima.

4) El servidor DNS recursivo reenvía la consulta DNS a todos los subdominios de la lista, creando un aumento en el tráfico para el servidor DNS autorizado de la víctima.

Productos afectados

Esta vulnerabilidad afecta a todos los software libre de DNS, tales como:

  • ISC BIND (CVE-2020-8616)
  • NLnet labs Unbound (CVE-2020-12662)
  • PowerDNS (CVE-2020-10995)
  • CZ.NIC Knot Resolver (CVE-2020-12667)

También afecta a servicios comerciales de DNS proporcionados por compañías como Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 e ICANN, las cuales indican que ya han parchado sus productos

Mitigación

Aplicar las actualizaciones o bien aplicar las medidas de mitigación publicadas según el fabricante.

Enlace

http://www.nxnsattack.com/

http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf

https://nvd.nist.gov/vuln/detail/CVE-2020-8616

https://kb.isc.org/docs/cve-2020-8616

https://nvd.nist.gov/vuln/detail/CVE-2020-12662

https://nlnetlabs.nl/downloads/unbound/CVE-2020-12662_2020-12663.txt

https://nvd.nist.gov/vuln/detail/CVE-2020-10995

https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2020-01.html

https://nvd.nist.gov/vuln/detail/CVE-2020-12667

https://www.knot-resolver.cz/2020-05-19-knot-resolver-5.1.1.html

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200009

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00221-01

9VSA20-00221-01 CSIRT comparte información sobre vulnerabilidad en protocolo DNS