Атаки MaginotDNS используют слабые проверки для отравления кеша DNS

Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа разработала новую мощную атаку с отравлением кеша под названием MaginotDNS, которая нацелена на распознаватели условных DNS (CDNS) и может скомпрометировать целые домены верхнего уровня TLD.

Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном программном обеспечении DNS и режимах сервера (рекурсивные распознаватели и серверы пересылки), в результате чего уязвима примерно треть всех серверов CDNS.

Исследователи представили атаку и бумага ранее на этой неделе в Черная шляпа 2023сообщая, что выявленные проблемы теперь устранены на уровне программного обеспечения.

Фон отравления кеша DNS

DNS (система доменных имен) — это иерархическая и распределенная система именования интернет-ресурсов и сетей, помогающая преобразовывать удобочитаемые доменные имена в числовые IP-адреса, чтобы можно было установить сетевое подключение.

Процесс разрешения DNS использует UDP, TCP и DNSSEC для выполнения запросов и получения ответов. Он может быть итеративным и рекурсивным, включающим несколько шагов и обмены с корневыми серверами, серверами TLD, полномочными серверами, попутно кэшируя записи и т. д.

Концепция отравления кеша DNS заключается во внедрении поддельных ответов в кеш распознавателя DNS, в результате чего сервер направляет пользователей, которые входят в домен, на неправильные IP-адреса, потенциально приводя их к вредоносным веб-сайтам без их ведома.

Многие атаки этого типа были продемонстрированы в прошлом, как, например, атака Кашпурева в 1997 году, в которой использовалось отсутствие проверки данных (правила бейливика), и атака Каминского в 2008 году, в которой использовалось отсутствие источника. система рандомизации портов.

Эти атаки были смягчены путем добавления защиты в реализацию распознавателей, что сделало атаки вне пути сложными.

Однако атака «MaginotDNS» может обойти эту защиту, атакуя режим пересылки CDNS либо по пути, либо по пути.

Атака MaginotDNS

Резолверы CDNS поддерживают как рекурсивный, так и режим переадресации запросов, которые используются интернет-провайдерами и предприятиями для снижения затрат и лучшего контроля доступа.

Исследователи обнаружили, что контрольные проверки адекватно применяются в рекурсивном режиме; однако экспедитор уязвим.

Поскольку они используют один и тот же глобальный кеш DNS, атака на режим пересылки может открыть путь к нарушению рекурсивного режима, по существу нарушая границу защиты кеша DNS.

Исследователи выявили несоответствия в проверке безопасности известного программного обеспечения DNS, включая BIND9 (CVE-2021-25220), Преобразователь узлов (CVE-2022-32983), Microsoft DNS и Technitium (CVE-2021-43105).

В некоторых случаях они отметили конфигурации, в которых все записи обрабатывались так, как если бы они находились в корневом домене, что является очень уязвимой конфигурацией.

Примеры, представленные исследователями во время презентации BlackHat, включают в себя атаки как на пути, так и вне пути, причем последние являются более сложными, но и гораздо более ценными для злоумышленников.

Для этих атак субъекту угрозы необходимо предсказать исходный порт и идентификатор транзакции, используемые рекурсивными DNS-серверами цели при создании запроса, а затем использовать вредоносный DNS-сервер для отправки поддельных ответов с правильными параметрами.

Вывод исходного порта и угадывание идентификаторов транзакций можно выполнить с помощью грубой силы или с помощью SADDNS (DNS с атакой по побочному каналу).

Для BIND9 оба параметра могут быть успешно получены после 3600 циклов запросов, в то время как для Microsoft DNS это число сокращается до 720 раундов.

Чтобы увеличить шансы на успех, злоумышленник должен контролировать время ответа вредоносных ответов DNS, чтобы их поддельный ответ достиг сервера жертвы раньше, чем законный.

Исследователи поделились следующим видео, демонстрирующим атаку MaginotDNS на Microsoft DNS.

Сканирование уязвимых CDNS

Исследователи просканировали Интернет и обнаружили 1 200 000 преобразователей DNS, из которых 154 955 являются серверами CDNS.

Затем, используя программные отпечатки пальцев для определения уязвимых версий, они обнаружили 54 949 уязвимых серверов CDNS, все из которых подвержены атакам на пути, а 88,3% подвержены атакам вне пути.

Все затронутые поставщики программного обеспечения, упомянутые выше, подтвердили и исправили недостатки, а Microsoft наградила исследователей за их отчет.

Однако для полного устранения проблем администраторы CDNS должны применять исправления и следовать правильным рекомендациям по настройке, предоставленным поставщиками.