El nuevo error de DNS de TsuNAME permite a los atacantes acceder a servidores DNS autorizados por DDoS

Los atacantes pueden utilizar una vulnerabilidad de servidor de nombres de dominio (DNS) recientemente revelada conocida públicamente como TsuNAME como un vector de amplificación en ataques de denegación de servicio distribuido (DDoS) basados ​​en reflexión a gran escala dirigidos a servidores DNS autorizados.

En términos más simples, los servidores DNS autorizados traducen dominios web en direcciones IP y pasan esta información a servidores DNS recursivos que son consultados por los navegadores web de los usuarios habituales cuando intentan conectarse a un sitio web específico.

Los servidores DNS autorizados son administrados comúnmente por organizaciones gubernamentales y privadas, incluidos los proveedores de servicios de Internet (ISP) y los gigantes tecnológicos de todo el mundo.

Uso de consultas DNS en servidores DDoS autorizados

Atacantes que intentan explotar el archivo Vulnerabilidad DNS TsuNAME apunte a los resolutores recursivos vulnerables y sobrecarguelos con servidores autorizados con grandes cantidades de consultas DNS maliciosas.

"Los solucionadores vulnerables a TsuNAME enviarán consultas ininterrumpidas a servidores autorizados que tienen registros dependientes cíclicos", explican los investigadores en su aviso de seguridad. [PDF]

"Si bien es poco probable que un resolutor abrume a un servidor autorizado, el efecto agregado de muchos resolutores recursivos en bucle vulnerables también puede hacerlo".

Un posible impacto después de un ataque de este tipo podría ser la eliminación de los servidores DNS autorizados directamente afectados, lo que podría causar cortes de Internet en todo el país si se ve afectado un dominio de nivel superior de código de país (ccTLD).

"Lo que hace que TsuNAME sea particularmente peligroso es que puede explotarse para realizar ataques DDoS contra infraestructuras de DNS críticas, como grandes dominios de nivel superior o ccTLD, que pueden afectar a los servicios específicos de un país". trabajo de investigación [PDF] publicado después de la divulgación explica.

Según los investigadores, los solucionadores de DNS populares como Unbound, BIND y KnotDNS no se ven afectados por el error TsuNAME DNS.

Medidas de mitigación disponibles

"Observamos un aumento del 50% en el tráfico debido a TsuNAME en la producción en el tráfico .nz, debido a una configuración incorrecta y no a un ataque real", agregaron los investigadores.

Los informes también mencionan los eventos TsuNAME que afectan a un ccTLD con sede en la UE que aumentaron el tráfico de DNS entrante en un factor de 10 debido a que solo dos dominios tenían una dependencia cíclica mal configurada.

Sin embargo, los atacantes con acceso a múltiples dominios y una botnet pueden causar mucho más daño si configuran mal sus dominios y comienzan a buscar resolutores abiertos.

Afortunadamente, las mitigaciones TsuNAME están disponibles y requieren cambios en el software de resolución recursiva, "incluidos los códigos de detección de bucles y el almacenamiento en caché de registros dependientes cíclicos".

Los operadores de servidores autorizados también pueden reducir el impacto de los ataques TsuNAME mediante el uso de código abierto CycleHunter herramienta, que ayuda a prevenir tales eventos al detectar y corregir de manera proactiva las dependencias cíclicas en sus zonas DNS.

Los investigadores ya han utilizado CycleHunter para escanear alrededor de 184 millones de dominios en siete TLD, lo que les permitió detectar 44 registros NS cíclicos dependientes (probablemente causados ​​por una mala configuración) en alrededor de 1.400 nombres de dominio que podrían ser mal utilizados en ataques.