NXNSAttack, la faille DNS qui permet des attaques DDoS

Des chercheurs en sécurité informatique ont révélé des détails sur une nouvelle faille nommée NXNSAttack. Cette faille affecte le protocole DNS et peut être exploité pour lancer des attaques de déni de service (DDoS) amplifiées et à grande échelle sur des sites Web ciblés.

La faille NXNSAttack repose sur le mécanisme de délégation DNS pour forcer les résolveurs DNS à générer davantage de requêtes DNS vers les serveurs d’autorité choisis par l’attaquant, ce qui pourrait potentiellement provoquer une interruption des services en ligne.

“Nous montrons que le nombre de messages DNS échangés dans un processus de résolution typique pourrait être beaucoup plus élevé dans la pratique que ce qui est attendu en théorie, principalement en raison d’une résolution proactive des adresses IP des serveurs de noms”, ont déclaré les chercheurs dans le document concernant NXNSAttack.

“Nous montrons comment cette inefficacité devient un goulot d’étranglement et pourrait être utilisée pour lancer une attaque dévastatrice contre l’un ou les deux, résolveurs récursifs et serveurs faisant autorité.”

Suite à la divulgation responsable de NXNSAttack, plusieurs sociétés en charge de l’infrastructure Internet, dont PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn, Verisign et IBM Quad9 ont patché leur logiciel pour résoudre le problème.

L’infrastructure DNS a déjà été la cible d’une vague d’attaques DDoS via le tristement célèbre botnet Mirai. On se souvient notamment de l’attaque contre le service DNS Dyn en 2016, paralysant certains des plus grands sites du monde, notamment Twitter, Netflix, Amazon et Spotify.

La méthode NXNSAttack

Une recherche DNS récursive se produit lorsqu’un serveur DNS communique avec plusieurs serveurs DNS faisant autorité dans une séquence hiérarchique pour localiser une adresse IP associée à un domaine (par exemple, www.google.com) et la renvoyer au client.

Cette résolution commence généralement par le résolveur DNS contrôlé par vos FAI ou serveurs DNS publics, comme Cloudflare (1.1.1.1) ou Google (8.8.8.8), selon la configuration de votre système.

Le résolveur transmet la requête à un serveur de noms DNS faisant autorité s’il ne parvient pas à localiser l’adresse IP d’un nom de domaine donné.

Mais si le premier serveur de noms DNS faisant autorité ne contient pas non plus les enregistrements souhaités, il renvoie le message de délégation avec les adresses aux prochains serveurs faisant autorité.

nxnsattack

En d’autres termes, un serveur faisant autorité dit au résolveur: “Je ne connais pas la réponse, allez plutôt interroger ces serveurs de noms, par exemple, ns1, ns2, etc.”.

Ce processus hiérarchique se poursuit jusqu’à ce que le résolveur DNS atteigne le bon serveur faisant autorité qui fournit l’adresse IP du domaine, permettant à l’utilisateur d’accéder au site Web souhaité.

Les chercheurs ont découvert que ce processus pouvait être exploité pour inciter les résolveurs récursifs à envoyer un grand nombre de paquets à un domaine ciblé au lieu des serveurs faisant autorité.

Afin de lancer l’attaque NXNSAttack via un résolveur récursif, l’attaquant doit être en possession d’un serveur faisant autorité, ont déclaré les chercheurs.

“Cela peut être facilement réalisé en achetant un nom de domaine. Un pirate qui agit comme un serveur faisant autorité peut élaborer n’importe quelle réponse NS comme réponse à différentes requêtes DNS”, ont déclaré les chercheurs.

NXNSAttack fonctionne en envoyant une requête pour un domaine contrôlé par un attaquant (par exemple, “attacker.com”) à un serveur de résolution DNS vulnérable, qui transmettrait la requête DNS au serveur faisant autorité contrôlé par l’attaquant.

Au lieu de renvoyer des adresses aux serveurs d’autorité, le serveur contrôlé par l’attaquant répond à la requête DNS avec une liste de faux noms de serveur ou de sous-domaines contrôlés par le pirate qui pointe vers un domaine DNS victime.

Le serveur DNS transmet ensuite la requête à tous les sous-domaines inexistants, créant une augmentation massive du trafic vers le site victime.

Les chercheurs ont déclaré que l’attaque peut amplifier le nombre de paquets échangés par le résolveur récursif, submergeant ainsi non seulement les résolveurs DNS avec plus de requêtes qu’ils ne peuvent gérer, mais aussi inondant le domaine cible avec des requêtes superflues. provoquant un déni de service.

nxnsattack

De plus, l’utilisation d’un botnet tel que Mirai en tant que client DNS peut augmenter encore l’ampleur de l’attaque.

“Contrôler et acquérir un grand nombre de clients et un grand nombre de serveurs de nom faisant autorité par un attaquant est facile et bon marché dans la pratique”, ont déclaré les chercheurs.

“Notre objectif initial était d’étudier l’efficacité des résolveurs récursifs et de leur comportement face à différentes attaques, et nous avons fini par trouver une nouvelle vulnérabilité sérieuse, NXNSAttack”, ont conclu les chercheurs.

“Les ingrédients clés de la nouvelle attaque sont (1) la facilité avec laquelle on peut posséder ou contrôler un serveur de noms faisant autorité, et (2) l’utilisation de noms de domaine inexistants pour les serveurs de noms et (3) la redondance supplémentaire placée dans la structure DNS pour atteindre la tolérance et un temps de réponse rapide “, ont-ils ajouté.

Que faire pour se protéger de NXNSAttack?

Il est fortement recommandé aux administrateurs réseau qui ont leurs propres serveurs DNS de mettre à jour leur logiciel de résolution DNS vers la dernière version.

Si cet article vous a plu, jetez un œil à notre article précédent.