首頁 > 安全研究 > 安全通報 > 安全通告

TsuNAM漏洞:可DDoS DNS服務器

發布時間 2021-05-08

0x00 漏洞概述

CVE  ID


時   間

2021-05-08

類   型

DDoS

等   級

高危

遠程利用

影響范圍


PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

 

2021年05月06日,SIDN Labs(.nl注冊)、InternetNZ(.nz注冊) 和南加州大學信息科學研究所的研究人員公開披露了在DNS解析器中發現的一個可導致分布式拒絕服務(DDoS)攻擊的漏洞,該漏洞被稱為TsuNAME。

現今互聯網上大多數使用的DNS服務器都是遞歸服務器,它們接受用戶的DNS查詢并將其轉發到權威DNS服務器,這種工作方式就像電話簿一樣,可以返回特定域名的DNS響應。

在正常情況下,數以百萬計的遞歸DNS服務器每天會向權威性DNS服務器發送數十億次DNS查詢。這些權威性DNS服務器通常由大型公司和組織托管和管理(內容交付網絡、大型科技巨頭、互聯網服務提供商、域名注冊商或政府組織),比如Google和Cisco。

研究人員表示,攻擊者可以制作惡意的DNS查詢,利用遞歸DNS軟件的漏洞,向其權威DNS服務器不停地發送惡意DNS查詢,但這種攻擊依賴于受影響的遞歸DNS軟件和權威DNS服務器上的錯誤配置。如果攻擊中注冊了足夠多的遞歸DNS服務器,則攻擊者可以發起龐大的DDoS攻擊,從而摧毀關鍵的Internet節點。

研究人員還發現,某些DNS解析器在遇到被錯誤配置為循環依賴NS記錄的域名時開始循環,而這種循環可以用來攻擊權威服務器。

image.png

 

研究人員在報告中描述了2020年在.nz authroritative服務器上觀察到的一個與tsuNAME相關的事件,當時有兩個域名被錯誤地配置為循環依賴關系,它導致總流量增長了50%。在報告中,研究人員展示了一個基于歐盟的國家代碼頂級域名如何因循環依賴的錯誤配置而導致流量增長了10倍。

研究人員還發布了一種稱為CycleHunter的工具 ,權威DNS服務器的運營商可以使用該工具在其DNS區域文件中查找并消除循環依賴性。消除這些循環依賴性可在未應用補丁的情況下防止攻擊者利用tsuNAME進行DDoS攻擊。

此外,研究人員使用CycleHunter在七個頂級域(TLD)中評估了約1.84億個域名,并發現了約1400個域名使用的44個循環依賴的NS記錄(可能是配置錯誤),這些記錄可能會被濫用于之后的攻擊。

 

影響范圍

Google Public DNS(GDNS)

Cisco OpenDNS

其它DNS解析器

(注:Unbound、BIND和KnotDNS不受tsuNAME影響)

 

0x02 處置建議

目前Google和Cisco已經修復了此漏洞,建議相關DNS運營商盡快使用CycleHunter工具檢測并消除DNS區域中的循環依賴關系或及時修復該漏洞。

下載鏈接:

https://github.com/SIDN/CycleHunter

 

0x03 參考鏈接

https://therecord.media/new-tsuname-bug-can-be-used-to-ddos-key-dns-servers/?

https://tsuname.io/

https://tsuname.io/tech_report.pdf

https://tsuname.io/advisory.pdf

 

0x04 時間線

2021-05-06  研究人員公開披露漏洞

2021-05-08  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇