DNSBomb: nuevo ataque DoS práctico y potente

DNS emplea una variedad de mecanismos para garantizar la disponibilidad, proteger la seguridad y mejorar la confiabilidad. Sin embargo, en este paper investigadores de la Universidad Tsinghua de Pekín, revelan que estos mecanismos inherentes, incluidos el tiempo de espera, la agregación de consultas y la respuesta rápida, pueden transformarse en vectores de ataque maliciosos; y proponen un nuevo ataque DoS denominado DNSBomb [PDF / Github].

DNSBomb explota múltiples mecanismos de DNS ampliamente implementados para acumular consultas de DNS que se envían a baja velocidad, para amplificar las consultas en respuestas de gran tamaño y concentrar todas las respuestas de DNS en una ráfaga de pulsaciones periódicas, cortas y de gran volumen para saturar simultáneamente los sistemas de destino.

A través de una evaluación exhaustiva de 10 software de DNS convencionales, 46 servicios de DNS públicos y alrededor de 1,8 millones de solucionadores de DNS abiertos, la investigación demuestra que todos estos podrían explotarse para llevar a cabo ataques DNSBomb más prácticos y potentes que los ataques DoS conocidos anteriormente.

Experimentos a pequeña escala muestran que la magnitud máxima del pulso puede acercarse a 8,7 Gb/s y el factor de amplificación del ancho de banda podría superar las 20.000 veces. Los ataques controlados realizados provocan la pérdida total de paquetes o la degradación del servicio en conexiones con y sin estado (TCP, UDP y QUIC).

El paper además, presenta soluciones de mitigación efectivas con evaluaciones detalladas y los investigadores informaron responsablemente sus hallazgos a todos los proveedores afectados y recibieron el reconocimiento de 24 de ellos, los cuales están parcheando su software utilizando las soluciones planteadas.

Se han asignado los siguientes CVE-ID:

Industry-wide: CVE-2024-33655
Knot: CVE-2023-49206
Simple DNS Plus: CVE-2023-49205
Technitium: CVE-2023-28456 – CVE-2023-49203
MaraDNS: CVE-2023-49204
Dnsmasq: CVE-2023-28450 – CVE-2023-49207
CoreDNS: CVE-2023-28454 – CVE-2023-49202
SDNS: CVE-2023-49201

Fuente y redacción: segu-info.com.ar

Vulnerabilidades críticas en Symfony y Drupal (Parchea!)

El troyano bancario para Android SOVA regresa con nuevas capacidades y objetivos

Esta es la forma más sencilla de hacer Phishing en Google Chrome