NXNSAttack: Nytt angrepp mot dns-servrar

Forskare vid universitetet i Tel Aviv varnar för en ny form av angrepp mot dns-tjänsten. [1]

Angreppet, som går under namnet NXNSAttack, kan användas för att utföra ddos-attacker mot dns-servrar. Ett angrepp kan göra att en dns-förfrågan ökar belastningen på servern med upp till 1 600 gånger. En lyckad attack medför att dns-servern inte kan svara på legitima förfrågningar. Angreppet går även att genomföra mot publika tjänster, men flera av de stora leverantörerna har själva uppdaterat. Leverantörer av dns-programvara, däribland BIND, PowerDNS Recursor och NLnet Labs’s Unbound har även de uppdaterat.

För en detaljerad teknisk beskrivning av angreppsmetoden, se http://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf

Påverkade produkter (urval)

PowerDNS Recursor [2]
4.1.0 till 4.3.0

BIND [3]
9.0.0 till 9.11.18
9.12.0 till 9.12.4-P2
9.14.0 till 9.14.11
9.16.0 till 9.16.2
9.17.0 till 9.17.1 av 9.17 “experimental development branch”
Samtliga releaser av 9.13 och 9.15
Supported Preview Edition 9.9.3-S1 till 9.11.18-S1.

NLnet Labs’s Unbound [4]
Samtliga versioner till och med 1.10.0

Windows Server [5]
Samtliga versioner

Rekommendationer

CERT-SE uppmanar att organisationer att undersöka med sin respektive leverantör av dns-server (resolver) om den har uppdaterats, och i så fall patcha.

Källor

[1] http://www.nxnsattack.com/
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10995
[3] https://kb.isc.org/docs/cve-2020-8616
[4] https://nlnetlabs.nl/downloads/unbound/CVE-2020-12662_2020-12663.txt
[5] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200009