Yeni DNS Güvenlik Açığı, Saldırganların Büyük ölçekli DDos atak gerçekleştirmelerine yol açıyor!
İsrailli siber güvenlik araştırmacıları, hedeflenen web sitelerinin kaldırılması için güçlendirilmiş, büyük ölçekli dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için kullanılabilecek DNS protokolünü etkileyen yeni bir kusur hakkında ayrıntılar açıkladı. NXNSAttack olarak
adlandırılan kusur, DNS çözümleyicilerini saldırganın tercih ettiği yetkili sunuculara daha fazla DNS sorgusu oluşturmaya zorlayarak potansiyel olarak çevrimiçi hizmetlerde botnet ölçeğinde bir kesintiye neden olmak için DNS yetkilendirme mekanizmasına bağlıdır. Araştırmacılar gazetede , "Tipik bir çözümleme sürecinde alınıp verilen DNS mesajlarının sayısının pratikte teoride beklenenden çok daha yüksek olabileceğini gösteriyoruz, bunun başlıca nedeni ad sunucularının IP adreslerinin proaktif bir şekilde çözülmesi," dedi .
"Bu verimsizliğin nasıl bir darboğaz haline geldiğini ve bunlardan birine veya her ikisine, yinelemeli çözümleyicilere ve yetkili sunuculara karşı yıkıcı bir saldırı gerçekleştirmek için kullanılabileceğini gösteriyoruz."
NXNSAttack'in sorumlu bir şekilde ifşa edilmesinin ardından, PowerDNS ( CVE-2020-10995 ), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Oracle'a ait Dyn dahil olmak üzere internet altyapısından sorumlu birkaç şirket , Verisign ve IBM Quad9, sorunu çözmek için yazılımlarına yama uyguladılar.
adlandırılan kusur, DNS çözümleyicilerini saldırganın tercih ettiği yetkili sunuculara daha fazla DNS sorgusu oluşturmaya zorlayarak potansiyel olarak çevrimiçi hizmetlerde botnet ölçeğinde bir kesintiye neden olmak için DNS yetkilendirme mekanizmasına bağlıdır. Araştırmacılar gazetede , "Tipik bir çözümleme sürecinde alınıp verilen DNS mesajlarının sayısının pratikte teoride beklenenden çok daha yüksek olabileceğini gösteriyoruz, bunun başlıca nedeni ad sunucularının IP adreslerinin proaktif bir şekilde çözülmesi," dedi .
"Bu verimsizliğin nasıl bir darboğaz haline geldiğini ve bunlardan birine veya her ikisine, yinelemeli çözümleyicilere ve yetkili sunuculara karşı yıkıcı bir saldırı gerçekleştirmek için kullanılabileceğini gösteriyoruz."
NXNSAttack'in sorumlu bir şekilde ifşa edilmesinin ardından, PowerDNS ( CVE-2020-10995 ), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Oracle'a ait Dyn dahil olmak üzere internet altyapısından sorumlu birkaç şirket , Verisign ve IBM Quad9, sorunu çözmek için yazılımlarına yama uyguladılar.
NXNSAttack Yöntemi
Bir özyinelemeli DNS arama hiyerarşik sırayla birden yetkili DNS sunucuları ile bir DNS sunucusu iletişim kurduğu bir alana ait bir IP adresi (örneğin, www.google.com) bulup müşteriye iade etmek ne olur.
Bu çözüm tipik olarak, ISS'leriniz veya Cloudflare (1.1.1.1) veya Google (8.8.8.8) gibi, sisteminizle hangisi yapılandırılmışsa, DNS çözümleyiciniz tarafından kontrol edilir.
Çözümleyici, belirli bir alan adı için IP adresini bulamazsa, isteği yetkili bir DNS ad sunucusuna iletir.
Ancak, ilk yetkili DNS ad sunucusu da istenen kayıtları tutmuyorsa, adresleri olan delegasyon mesajını DNS çözümleyicisinin sorgulayabileceği sonraki yetkili sunuculara döndürür.
Başka bir deyişle, yetkili bir sunucu özyinelemeli çözümleyiciye şunu söyler: "Cevabı bilmiyorum, git ve bunları ve bu isim sunucularını, örneğin ns1, ns2, vb."
Bu hiyerarşik süreç, DNS çözümleyicisi, kullanıcının istenen web sitesine erişmesine izin vererek, alanın IP adresini sağlayan doğru yetkili sunucuya ulaşana kadar devam eder.
Araştırmacılar, bu büyük istenmeyen genel giderlerin, özyinelemeli çözümleyicileri yasal yetkili sunucular yerine hedeflenen bir etki alanına sürekli olarak çok sayıda paketi zorla göndermeleri için kandırmak için kullanılabileceğini buldular.
Araştırmacılar, saldırıyı özyinelemeli bir çözümleyici aracılığıyla gerçekleştirmek için, saldırganın yetkili bir sunucuya sahip olması gerektiğini söyledi.
Araştırmacılar, "Bu, bir alan adı satın alarak kolayca başarılabilir. Yetkili bir sunucu olarak hareket eden bir düşman, farklı DNS sorgularına yanıt olarak herhangi bir NS yönlendirme yanıtını oluşturabilir" dedi.
NXNSAttack, saldırıya açık bir DNS çözümleme sunucusuna saldırgan tarafından kontrol edilen bir etki alanına (örneğin, "saldırgan.com") yönelik bir istek göndererek çalışır ve bu, DNS sorgusunu saldırgan tarafından denetlenen yetkili sunucuya iletir.
Saldırgan tarafından kontrol edilen yetkili sunucu, adresleri gerçek yetkili sunuculara döndürmek yerine, DNS sorgusuna sahte sunucu adları veya tehdit aktörü tarafından kontrol edilen ve kurbanın DNS etki alanını gösteren alt etki alanlarından oluşan bir listeyle yanıt verir.
Bu hiyerarşik süreç, DNS çözümleyicisi, kullanıcının istenen web sitesine erişmesine izin vererek, alanın IP adresini sağlayan doğru yetkili sunucuya ulaşana kadar devam eder.
Araştırmacılar, bu büyük istenmeyen genel giderlerin, özyinelemeli çözümleyicileri yasal yetkili sunucular yerine hedeflenen bir etki alanına sürekli olarak çok sayıda paketi zorla göndermeleri için kandırmak için kullanılabileceğini buldular.
Araştırmacılar, saldırıyı özyinelemeli bir çözümleyici aracılığıyla gerçekleştirmek için, saldırganın yetkili bir sunucuya sahip olması gerektiğini söyledi.
Araştırmacılar, "Bu, bir alan adı satın alarak kolayca başarılabilir. Yetkili bir sunucu olarak hareket eden bir düşman, farklı DNS sorgularına yanıt olarak herhangi bir NS yönlendirme yanıtını oluşturabilir" dedi.
NXNSAttack, saldırıya açık bir DNS çözümleme sunucusuna saldırgan tarafından kontrol edilen bir etki alanına (örneğin, "saldırgan.com") yönelik bir istek göndererek çalışır ve bu, DNS sorgusunu saldırgan tarafından denetlenen yetkili sunucuya iletir.
Saldırgan tarafından kontrol edilen yetkili sunucu, adresleri gerçek yetkili sunuculara döndürmek yerine, DNS sorgusuna sahte sunucu adları veya tehdit aktörü tarafından kontrol edilen ve kurbanın DNS etki alanını gösteren alt etki alanlarından oluşan bir listeyle yanıt verir.
Araştırmacılar, saldırının özyinelemeli çözümleyici tarafından takas edilen paket sayısını 1.620'den fazla bir faktör kadar artırabileceğini, böylece yalnızca DNS çözümleyicilerin üstesinden gelebilecekleri daha fazla istekle değil, aynı zamanda hedef etki alanını gereksiz isteklerle doldurabileceğini söyledi.
Dahası, Mirai gibi bir botnet'i DNS istemcisi olarak kullanmak saldırının ölçeğini daha da artırabilir.
Araştırmacılar, "Çok sayıda müşteriyi ve çok sayıda yetkili NS'yi bir saldırgan tarafından kontrol etmek ve satın almak pratikte kolay ve ucuzdur" dedi.
Araştırmacılar, "İlk hedefimiz, yinelemeli çözümleyicilerin verimliliğini ve farklı saldırılar altındaki davranışlarını araştırmaktı ve sonuçta ciddi görünen yeni bir güvenlik açığı olan NXNSAttack'ı bulduk," diye sonuçlandırdılar.
"Yeni saldırının temel bileşenleri, (i) yetkili bir ad sunucusuna sahip olma veya onu kontrol etme kolaylığı ve (ii) ad sunucuları için var olmayan alan adlarının kullanımı ve (iii) DNS'ye yerleştirilen fazladan fazlalıktır. hata toleransı ve hızlı tepki süresi elde etmek için yapı,
Kendi DNS sunucularını çalıştıran ağ yöneticilerinin DNS çözümleyici yazılımlarını en son sürüme güncellemeleri şiddetle tavsiye edilir.
Araştırmacılar, "Çok sayıda müşteriyi ve çok sayıda yetkili NS'yi bir saldırgan tarafından kontrol etmek ve satın almak pratikte kolay ve ucuzdur" dedi.
Araştırmacılar, "İlk hedefimiz, yinelemeli çözümleyicilerin verimliliğini ve farklı saldırılar altındaki davranışlarını araştırmaktı ve sonuçta ciddi görünen yeni bir güvenlik açığı olan NXNSAttack'ı bulduk," diye sonuçlandırdılar.
"Yeni saldırının temel bileşenleri, (i) yetkili bir ad sunucusuna sahip olma veya onu kontrol etme kolaylığı ve (ii) ad sunucuları için var olmayan alan adlarının kullanımı ve (iii) DNS'ye yerleştirilen fazladan fazlalıktır. hata toleransı ve hızlı tepki süresi elde etmek için yapı,
Kendi DNS sunucularını çalıştıran ağ yöneticilerinin DNS çözümleyici yazılımlarını en son sürüme güncellemeleri şiddetle tavsiye edilir.
Yorumlar
Yorum Gönder