Un reciente estudio conjunto realizado por la Universidad de California, Irvine, y la Universidad Tsinghua ha sacado a la luz un ataque de envenenamiento de caché DNS, apodado «MaginotDNS«. Este ataque se centra en los resolutores DNS condicionales (CDNS) y tiene el potencial de comprometer la seguridad de dominios completos de nivel superior (TLDs).
El DNS (Sistema de Nombres de Dominio) es un componente fundamental de la arquitectura de Internet, transformando nombres de dominio en direcciones IP. Un ataque de envenenamiento de caché DNS puede redirigir a los usuarios a sitios web maliciosos al introducir respuestas falsificadas en la caché DNS.
La vulnerabilidad radica en las inconsistencias en la implementación de controles de seguridad entre diferentes softwares y modos de servidores DNS. Estas discrepancias hacen que cerca de un tercio de todos los servidores CDNS estén en riesgo.
La presentación de los investigadores en la conferencia Black Hat 2023 resaltó que este tipo de ataque ya ha sido corregido a nivel de software. Sin embargo, los administradores de CDNS deben estar alerta y aplicar los parches correspondientes.
Los resolutores CDNS, que admiten modos de consulta recursiva y de reenvío, son ampliamente empleados por proveedores de servicios de Internet y empresas. Estas funciones ofrecen beneficios en términos de coste y control de acceso, pero también presentan un blanco atractivo para los atacantes.
El equipo detectó vulnerabilidades en algunos de los softwares DNS más populares, como BIND9, Knot Resolver, Microsoft DNS y Technitium. Para ejecutar un ataque exitoso, los atacantes deben prever ciertos parámetros del servidor DNS objetivo y utilizar un servidor DNS malintencionado para enviar respuestas adulteradas.
Durante su investigación, el equipo escaneó Internet y encontró más de un millón de resolutores DNS, de los cuales cerca de 155,000 eran servidores CDNS. De estos, más de 54,000 servidores CDNS eran vulnerables al ataque MaginotDNS.
Los proveedores de software afectados ya han reconocido y abordado estas vulnerabilidades. Empresas como Microsoft incluso han recompensado a los investigadores por su contribución.
Es esencial que los administradores de sistemas actualicen sus servidores DNS para protegerse contra este tipo de amenazas. Con la creciente dependencia de la infraestructura en línea, garantizar la seguridad de las conexiones DNS es más crucial que nunca.
Referencias: