Falla in Molteplici Infrastrutture DNS
05/20/2020
Proto: N050520.
Con la presente Yoroi desidera informarla riguardo alla recente scoperta di significative vulnerabilità in molteplici tecnologie DNS utilizzate in architetture di servizio per la risoluzione dei nomi a dominio. La criticità è referenziata con l’alias “NXNSAttack” ed al momento identificata con CVE-2020-8616, CVE-2020-12662, CVE-2020-12667, CVE-2020-10995.
Ricercatori dell’università di Tel Aviv hanno individuato una problematica comune a molte tecnologie di risoluzione DNS. In particolare, la problematica è originata da debolezze nelle logiche di delegazione utilizzate dai server DNS quando utilizzati in modalità ricorsiva. Infatti, un attaccante in grado di richiedere la risoluzione di un dominio appositamente creato, può forzare il server DNS ad effettuare molteplici richieste verso un terzo server arbitrario, condizione che si traduce nella generazione di un volume di traffico potenzialmente dannoso verso una terza parte arbitraria.
Tale scenario può essere sfruttato in schemi di attacco di tipo Ransom-DDoS per via dei fattori di amplificazione in gioco: una richiesta effettuata da un client malevolo può generare un volume di traffico diretto alla terza parte fino a 1000 volte più grande della richiesta originale.
Figura. Rappresentazione della catena di attacco (Source:CZ.NIC)
Vari Vendor e Manutentori di tecnologie DNS come BIND, NLnet, NIC.CZ Knot Resolver, PowerDNS, Google, Microsoft, Cloudflare, Amazon, Oracle (DYN), Verisign, Quad9 e ICANN stanno valutando lo stato di vulnerabilità delle rispettive tecnologie e rilasciando opportuni aggiornamenti.
Per via della potenzialmente ampia superficie di attacco offerta da queste tecnologie e della diffusione di campagne di Ransom-DDoS nei mesi precedenti (e.g. N031019), Yoroi consiglia di monitorare e pianificare l’applicazione degli aggiornamenti disponibili per i servizi e le infrastrutture DNS in uso presso le Vostre organizzazioni.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
