Как MaginotDNS ставит под угрозу безопасность интернета

На прошедшей конференции Black Hat 2023 команда из Калифорнийского университета в Ирвине и Университета Цинхуа представила новую атаку под названием MaginotDNS. Эта атака нацелена на условные DNS (CDNS) и способна компрометировать домены верхнего уровня (TLD). Возможность атаки возникла из-за несоответствий в безопасности различного ПО DNS и режимов работы серверов, включая рекурсивные распознаватели и серверы пересылки. Она затрагивает примерно треть всех серверов CDNS.

MaginotDNS работает путем внедрения поддельных ответов в кеш DNS-распознавателя, что приводит к перенаправлению пользователей на неверные IP-адреса и потенциально на вредоносные сайты. Эта атака обходит защитные меры, которые были внедрены после предыдущих атак, таких как атака Кашпурева (1997) и атака Каминского (2008).

Основной уязвимостью является режим пересылки в CDNS, в то время как рекурсивный режим остается более защищенным. Но поскольку оба режима используют один и тот же глобальный кеш DNS, атака на режим пересылки может ослабить защиту в рекурсивном режиме.

Исследователи выявили уязвимости в таком известном ПО DNS, как BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS и Technitium (CVE-2021-43105). В демонстрации на конференции они показали атаку MaginotDNS на Microsoft DNS, а также представили примеры атак как на пути, так и вне пути.

Проведя сканирование глобальной сети, исследователи обнаружили 1 200 000 DNS-преобразователей, из которых 154 955 являются серверами CDNS. Из них 54 949 уязвимы для атак на пути, а 88,3% — для атак вне пути.

Все затронутые производители ПО подтвердили и исправили найденные недостатки, причем Microsoft даже вознаградила исследователей за их отчет.