Découverte de la vulnérabilité NXNSAttack qui permet de provoquer le déni de service d’un serveur DNS

Découverte de la vulnérabilité NXNSAttack qui permet de provoquer le déni de service d’un serveur DNS

Des chercheurs ont découvert une vulnérabilité affectant le protocole DNS (toutes les implémentations sont donc concernées), qu’ils ont baptisé NXNSAttack.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Résumé de l’attaque

L’attaque repose sur le fait que lors d’une résolution récursive d’un nom de domaine, le nombre de messages échangés entre les différents serveurs DNS peut être bien plus important que prévu, permettant la mise en oeuvre d’une attaque d’amplification DNS.

Un attaquant peut exploiter ce comportement pour initier des opérations visant à provoquer le déni de service d’un résolveur DNS récursif ou d’un serveur DNS faisant autorité sur un domaine.

Il devra lui-même disposer d’un serveur DNS faisant autorité sur un domaine pour mener ce type d’attaque.
Le nombre de messages échangés par le serveur DNS vulnérable peut être multiplié par 1 600 par rapport au nombre de messages émis par l’attaquant.

La vulnérabilité affecte le protocole DNS, elle ne peut donc pas être corrigée sans modification de la norme.
Néanmoins, les chercheurs ont proposé des mécanismes d’atténuation du nombre de messages échangés entre les serveurs DNS.

Versions affectées

Ces mécanismes ont été mis en place au sein de plusieurs implémentations.
Des références CVE propres à différents produits ont été attribuées :

Recommendations

Le CERT-XMCO recommande l’application des correctifs de sécurité suivants :

Produit affecté
Version corrigée
9.11.19, 9.14.12, 9.16.3
1.10.1
4.1.16, 4.2.2, 4.3.1
5.1.1
Pas de version corrigée

Pour les serveurs DNS Windows, il est possible de se prémunir de la vulnérabilité via la commande

Set-DnsServerResponseRateLimiting -ResponsesPerSec 2

Références

Site web dédié à NXNSAttack

NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities.

Référence XMCO

CXN-2020-2651


Aurélien Denis