La faille TsuNAME permet de lancer des dénis de service dans les serveurs DNS

Les attaquants peuvent utiliser une vulnérabilité de serveur de noms de domaine (DNS) nouvellement divulguée connue publiquement sous le nom de TsuNAME comme vecteur d’amplification dans les attaques de déni de service distribué basées sur la réflexion à grande échelle ciblant les serveurs DNS faisant autorité.

En termes plus simples, les serveurs DNS faisant autorité traduisent les domaines Web en adresses IP et transmettent ces informations aux serveurs DNS récursifs qui sont interrogés par les navigateurs Web des utilisateurs réguliers lorsqu’ils tentent de se connecter à un site Web spécifique.

Les serveurs DNS faisant autorité sont généralement gérés par des organisations gouvernementales et privées, y compris des fournisseurs de services Internet et des géants mondiaux de la technologie.

Utiliser des requêtes DNS pour provoquer des dénis de service sur les serveurs faisant autorité

Les attaquants qui tentent d’exploiter la vulnérabilité TsuNAME des serveurs DNS ciblent les résolvants récursifs vulnérables et les obligent à submerger les serveurs faisant autorité avec de grandes quantités de requêtes DNS malveillantes.

« Les résolvants vulnérables à TsuNAME enverront des requêtes non-stop aux serveurs faisant autorité », expliquent les chercheurs dans leur avis de sécurité. [PDF]

« Bien qu’il soit peu probable qu’un résolvant submerge un serveur faisant autorité, l’effet agrégé de nombreux résolvants récursifs vulnérables et en boucle peut tout aussi bien le faire. »

Un impact possible à la suite d’une telle attaque peut être l’inaccessibilité de serveurs DNS faisant autorité directement touchés, ce qui pourrait entraîner des pannes Internet à l’échelle du pays si un domaine de premier niveau de code de pays (ccTLD) est affecté.

« Ce qui rend TsuNAME particulièrement dangereux, c’est qu’il peut être exploité pour mener des attaques DDoS contre des infrastructures DNS critiques comme les TLD ou les ccLD, ce qui pourrait affecter les services spécifiques à chaque pays », explique un document de recherche [PDF] publié après la divulgation.

Selon les chercheurs, les résolvants DNS populaires tels que Unbound, BIND et KnotDNS ne sont pas affectés par la faille TsuNAME.

Les mesures d’atténuation disponibles

« Nous avons observé des augmentations de trafic de 50% dues à TsuNAME en production dans le trafic .nz, ce qui était dû à une erreur de configuration et non pas une attaque réelle », ont ajouté les chercheurs.

Les rapports mentionnent également les événements TsuNAME affectant un ccTLD basé dans l’Union Européenne qui ont augmenté le trafic DNS entrant en le multipliant par 10 en raison de seulement deux domaines avec une mauvaise configuration de dépendance cyclique.

tsuname

Toutefois, les attaquants ayant accès à plusieurs domaines et à un botnet peuvent faire beaucoup plus de dégâts s’ils configurent mal leurs domaines et commencent à sonder les serveurs résolvants ouverts.

Heureusement, des mesures d’atténuation de TsuNAME sont disponibles, et elles nécessitent des modifications au logiciel de résolution récursif « en incluant des codes de détection de boucles et des enregistrements cycliques dépendants ».

Les opérateurs de serveurs faisant autorité peuvent également réduire l’impact des attaques TsuNAME à l’aide de l’outil open-source CycleHunter, qui aide à prévenir de tels événements en détectant et en corrigeant préventivement les dépendances cycliques dans leurs zones DNS.

Les chercheurs ont déjà utilisé CycleHunter pour examiner environ 184 millions de domaines dans sept TLD, ce qui leur a permis de détecter 44 enregistrements NS cycliques dépendants (probablement causés par des erreurs de configuration) sur environ 1400 noms de domaine qui pourraient être abusés dans les attaques.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire