DNS emplea una variedad de mecanismos para garantizar la disponibilidad, proteger la seguridad y mejorar la confiabilidad. Sin embargo, en este paper investigadores de la Universidad Tsinghua de Pekín, revelan que estos mecanismos inherentes, incluidos el tiempo de espera, la agregación de consultas y la respuesta rápida, pueden transformarse en vectores de ataque maliciosos; y proponen un nuevo ataque DoS denominado DNSBomb [PDF / Github].
DNSBomb explota múltiples mecanismos de DNS ampliamente implementados para acumular consultas de DNS que se envían a baja velocidad, para amplificar las consultas en respuestas de gran tamaño y concentrar todas las respuestas de DNS en una ráfaga de pulsaciones periódicas, cortas y de gran volumen para saturar simultáneamente los sistemas de destino.
A través de una evaluación exhaustiva de 10 software de DNS convencionales, 46 servicios de DNS públicos y alrededor de 1,8 millones de solucionadores de DNS abiertos, la investigación demuestra que todos estos podrían explotarse para llevar a cabo ataques DNSBomb más prácticos y potentes que los ataques DoS conocidos anteriormente.
Experimentos a pequeña escala muestran que la magnitud máxima del pulso puede acercarse a 8,7 Gb/s y el factor de amplificación del ancho de banda podría superar las 20.000 veces. Los ataques controlados realizados provocan la pérdida total de paquetes o la degradación del servicio en conexiones con y sin estado (TCP, UDP y QUIC).
El paper además, presenta soluciones de mitigación efectivas con evaluaciones detalladas y los investigadores informaron responsablemente sus hallazgos a todos los proveedores afectados y recibieron el reconocimiento de 24 de ellos, los cuales están parcheando su software utilizando las soluciones planteadas.
Se han asignado los siguientes CVE-ID:
- Industry-wide: CVE-2024-33655
- Knot: CVE-2023-49206
- Simple DNS Plus: CVE-2023-49205
- Technitium: CVE-2023-28456 – CVE-2023-49203
- MaraDNS: CVE-2023-49204
- Dnsmasq: CVE-2023-28450 – CVE-2023-49207
- CoreDNS: CVE-2023-28454 – CVE-2023-49202
- SDNS: CVE-2023-49201
La presentación se está haciendo en la conferencia 45th IEEE Symposium on Security and Privacy (Oakland)
Fuente: DNSBomb
