Các nhà nghiên cứu an ninh mạng của Israel đã tiết lộ chi tiết về một giao thức DNS có ảnh hưởng đến lỗ hổng mới có thể được khai thác để khởi động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) được khuếch đại, quy mô lớn cho các trang web nhắm mục tiêu.
Gọi là NXNSAttack, lỗ hổng trên cơ chế ủy quyền DNS để buộc các trình phân giải DNS tạo ra nhiều truy vấn DNS hơn tới các máy chủ có thẩm quyền theo lựa chọn của kẻ tấn công, có khả năng gây gián đoạn quy mô botnet cho các dịch vụ trực tuyến.
“Chúng tôi cho thấy rằng số lượng tin nhắn DNS được trao đổi trong một quá trình phân giải điển hình có thể cao hơn nhiều so với thực tế so với dự kiến trên lý thuyết, chủ yếu là do độ phân giải chủ động của các địa chỉ IP của máy chủ tên,” các nhà nghiên cứu cho biết trong bài báo.
“Chúng tôi cho thấy sự kém hiệu quả này trở thành nút cổ chai và có thể được sử dụng để thực hiện một cuộc tấn công tàn khốc chống lại một hoặc cả hai, các trình phân giải đệ quy và các máy chủ có thẩm quyền.”
Sau khi tiết lộ có trách nhiệm về NXNSAttack, một số công ty phụ trách cơ sở hạ tầng internet, bao gồm PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn, Verisign và IBM Quad9 thuộc sở hữu của Oracle, đã vá phần mềm của họ để giải quyết vấn đề.
Cơ sở hạ tầng DNS trước đây đã nhận được một loạt các cuộc tấn công DDoS thông qua sự khét tiếng Mạng botnet Mirai, bao gồm cả những dịch vụ chống lại dịch vụ Dyn DNS vào năm 2016, làm tê liệt một số trang web lớn nhất thế giới, bao gồm Twitter, Netflix, Amazon và Spotify.
Phương pháp NXNSAttack
Một tra cứu DNS đệ quy xảy ra khi một máy chủ DNS giao tiếp với nhiều máy chủ DNS có thẩm quyền theo trình tự phân cấp để xác định địa chỉ IP được liên kết với một tên miền (ví dụ: www.google.com) và trả lại cho khách hàng.
Độ phân giải này thường bắt đầu bằng trình phân giải DNS được điều khiển bởi ISP hoặc máy chủ DNS công cộng của bạn, như Cloudflare (1.1.1.1) hoặc Google (8.8.8.8), tùy theo cấu hình của bạn.
Trình phân giải chuyển yêu cầu đến một máy chủ tên DNS có thẩm quyền nếu không thể định vị địa chỉ IP cho một tên miền nhất định.
Nhưng nếu máy chủ tên DNS có thẩm quyền đầu tiên cũng không giữ các bản ghi mong muốn, nó sẽ trả về thông báo ủy quyền có địa chỉ cho các máy chủ có thẩm quyền tiếp theo mà trình phân giải DNS có thể truy vấn.
Nói cách khác, một máy chủ có thẩm quyền nói với trình phân giải đệ quy: “Tôi không biết câu trả lời, hãy truy vấn những máy chủ tên này, ví dụ: ns1, ns2, v.v.,”.
Quá trình phân cấp này diễn ra cho đến khi trình phân giải DNS đến đúng máy chủ có thẩm quyền cung cấp địa chỉ IP của tên miền, cho phép người dùng truy cập trang web mong muốn.
Các nhà nghiên cứu nhận thấy rằng các chi phí không mong muốn lớn này có thể bị khai thác để lừa những người giải quyết đệ quy liên tục gửi một số lượng lớn các gói đến một miền được nhắm mục tiêu thay vì các máy chủ có thẩm quyền hợp pháp.
Để gắn kết cuộc tấn công thông qua một trình giải quyết đệ quy, kẻ tấn công phải sở hữu một máy chủ có thẩm quyền, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu cho biết: “Điều này có thể dễ dàng đạt được bằng cách mua một tên miền. Một kẻ thù hoạt động như một máy chủ có thẩm quyền có thể tạo ra bất kỳ phản hồi giới thiệu NS nào như một câu trả lời cho các truy vấn DNS khác nhau”.
NXNSAttack hoạt động bằng cách gửi yêu cầu cho miền do kẻ tấn công kiểm soát (ví dụ: “kẻ tấn công.com”) đến máy chủ phân giải DNS dễ bị tấn công, sẽ chuyển tiếp truy vấn DNS đến máy chủ có thẩm quyền do kẻ tấn công kiểm soát.
Thay vì trả lại địa chỉ cho các máy chủ có thẩm quyền thực tế, máy chủ có thẩm quyền do kẻ tấn công kiểm soát trả lời truy vấn DNS bằng danh sách tên máy chủ giả hoặc tên miền phụ được kiểm soát bởi tác nhân đe dọa trỏ đến miền DNS nạn nhân.
Sau đó, máy chủ DNS chuyển tiếp truy vấn đến tất cả các tên miền phụ không tồn tại, tạo ra lưu lượng truy cập lớn đến trang web nạn nhân.
Các nhà nghiên cứu cho biết cuộc tấn công có thể khuếch đại số lượng gói được trao đổi bởi trình phân giải đệ quy lên tới hơn 1.620, do đó, không chỉ áp đảo các trình phân giải DNS với nhiều yêu cầu hơn mà chúng có thể xử lý, mà còn tràn ngập miền đích với các yêu cầu không cần thiết và đưa nó xuống.
Hơn nữa, sử dụng botnet như Mirai làm máy khách DNS có thể tăng thêm quy mô của cuộc tấn công.
“Kiểm soát và có được một số lượng lớn khách hàng và một số lượng lớn NS có thẩm quyền bởi một kẻ tấn công là dễ dàng và rẻ tiền trong thực tế,” các nhà nghiên cứu cho biết.
“Mục tiêu ban đầu của chúng tôi là điều tra hiệu quả của các trình phân giải đệ quy và hành vi của chúng dưới các cuộc tấn công khác nhau và cuối cùng chúng tôi đã tìm thấy một lỗ hổng nghiêm trọng mới, NXNSAttack,” các nhà nghiên cứu kết luận.
“Các thành phần chính của cuộc tấn công mới là (i) người ta có thể dễ dàng sở hữu hoặc kiểm soát máy chủ tên có thẩm quyền và (ii) việc sử dụng tên miền không tồn tại cho máy chủ tên và (iii) dự phòng bổ sung được đặt trong DNS cấu trúc để đạt được khả năng chịu lỗi và thời gian phản hồi nhanh, “họ nói thêm.
Chúng tôi khuyên các quản trị viên mạng chạy máy chủ DNS của họ nên cập nhật phần mềm trình phân giải DNS của họ lên phiên bản mới nhất.
