MaginotDNS, allarme DNS cache poisoning: cosa sta succedendo

Un team di ricercatori della UC Irvine e della Tsinghua University ha sviluppato un nuovo potente attacco di tipo DNS cache poisoning chiamato MaginotDNS. Questo prende di mira i Resolver Conditional DNS (CDNS) e può compromettere interi domini di primo livello TLD.

L’attacco è reso possibile grazie ad alcune falle nell’implementazione dei controlli di sicurezza in diversi software DNS e server, lasciando vulnerabile circa un terzo di tutti i server CDNS. I ricercatori hanno presentato le modalità dell’attacco e la relativa documentazione all’inizio di questa settimana, in occasione del Black Hat 2023 di Los Angeles, riferendo che i problemi identificati sono stati ora risolti a livello di software.

Quando si parla di DNS (Domain Name System) si fa riferimento a un sistema di denominazione che permette di risolvere i nomi di dominio, rendendoli leggibili dall’uomo rispetto ai più complessi indirizzi IP numerici. Il processo di risoluzione DNS utilizza UDP, TCP e DNSSEC per eseguire query e ricevere risposte.

MaginotDNS e DNS cache poisoning: un pericolo che viene da lontano

Il concetto di DNS cache poisoning propone risposte contraffatte nella cache del resolver DNS, facendo in modo che il server indirizzi gli utenti che accedono a un dominio vengono in realtà indirizzati verso siti Web dannosi a loro insaputa.

Molti attacchi di questo tipo sono stati individuati e analizzati in passato, anche piuttosto “remoto” nel contesto di Internet. Un chiaro esempio in tal senso è l’attacco Kashpureff nel 1997, che ha sfruttato una mancanza di verifica dei dati o l’attacco Kaminsky nel 2008 che ha sfruttato l’assenza di una fonte sistema di randomizzazione delle porte.

I resolver CDNS supportano sia le modalità di query ricorsive che quelle di inoltro, utilizzate dagli ISP e dall’azienda per ridurre i costi e migliorare il controllo degli accessi. I ricercatori hanno però scoperto che la trasmissione dei dati risulta in qualche modo vulnerabile.

I ricercatori hanno identificato incoerenze in alcuni importanti software DNS, tra cui BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS e Technitium (CVE-2021-43105).

In alcuni casi, hanno notato configurazioni che trattavano tutti i record come se fossero sotto il dominio principale. In questo senso, nel corso del Black Hat, sono stati dimostrati diversi possibili attacchi attuabili attraverso MaginotDNS.