NXNSAttack: Nytt angrepp mot dns-servrar

Forskare vid universitetet i Tel Aviv varnar för en ny form av angrepp mot dns-tjänsten. [1]

Angreppet, som går under namnet NXNSAttack, kan användas för att utföra ddos-attacker mot dns-servrar. Ett angrepp kan göra att en dns-förfrågan ökar belastningen på servern med upp till 1 600 gånger. En lyckad attack medför att dns-servern inte kan svara på legitima förfrågningar.

Angreppet går även att genomföra mot publika tjänster, men flera av de stora leverantörerna har själva uppdaterat. Leverantörer av dns-programvara, däribland BIND, PowerDNS Recursor och NLnet Labs’s Unbound har även de uppdaterat.

För en detaljerad teknisk beskrivning av angreppsmetoden, se http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf

Påverkade produkter (urval)

PowerDNS Recursor [2] 4.1.0 till 4.3.0
BIND [3] 9.0.0 till 9.11.18, 9.12.0 till 9.12.4-P2, 9.14.0 till 9.14.11, 9.16.0 till 9.16.2, 9.17.0 till 9.17.1 av 9.17 “experimental development branch”
Samtliga releaser av 9.13 och 9.15S
upported Preview Edition 9.9.3-S1 till 9.11.18-S1
.NLnet Labs’s Unbound [4] Samtliga versioner till och med 1.10.0
Windows Server [5] Samtliga versioner

Rekommendationer

CERT-SE uppmanar att organisationer att undersöka med sin respektive leverantör av dns-server (resolver) om den har uppdaterats, och i så fall patcha.

Källor

[1] http://www.nxnsattack.com/

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10995

[3] https://kb.isc.org/docs/cve-2020-8616

[4] https://nlnetlabs.nl/downloads/unbound/CVE-2020-12662_2020-12663.txt

[5] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200009