Peneliti keamanan siber di Israel kali ini mengungkapkan rincian kerentanan baru protokol DNS yang dapat dieksploitasi untuk meluncurkan serangan Distributed Denial-of-Service (DDoS) berskala besar. Disebut NXNSAttack, kerentanan ini bergantung pada mekanisme delegasi DNS untuk memaksa resolver DNS agar menghasilkan lebih banyak permintaan DNS ke server otoritatif pilihan penyerang.
Setelah pengungkapan NXNSAttack, beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS (CVE-2020-10995), CZ.NIC (CVE-2020-12667), Cloudflare, Google, Amazon, Microsoft, Dyn yang dimiliki Oracle, Verisign, dan IBM Quad9, dikabarkan telah memperbaiki perangkat lunak mereka untuk mengatasi masalah tersebut.
Metode NXNSAttack
Pencarian DNS rekursif terjadi ketika server DNS berkomunikasi dengan beberapa server DNS otoritatif dalam urutan hierarkis untuk menemukan alamat IP yang terkait dengan domain (mis., www.google.com) dan mengembalikannya ke klien.
Resolusi ini biasanya dimulai dengan resolver DNS yang dikendalikan oleh ISP atau server DNS publik, seperti Cloudflare (1.1.1.1) atau Google (8.8.8.8), yang dikonfigurasi dengan sistem pengguna.
Resolver meneruskan permintaan ke nameserver DNS yang otoritatif jika tidak dapat menemukan alamat IP untuk nama domain yang diberikan.
Tetapi jika nameserver DNS otoritatif pertama juga tidak memiliki catatan yang diinginkan, maka itu akan mengembalikan pesan delegasi dengan alamat ke server otoritatif berikutnya yang bisa di request oleh resolver DNS.
Proses hierarkis ini berlangsung hingga resolver DNS mencapai server otoritatif yang menyediakan alamat IP domain, dan memungkinkan pengguna untuk mengakses situs web yang diinginkan.
Para peneliti menemukan bahwa overhead ini dapat dieksploitasi untuk mengelabui resolver rekursif agar secara terus menerus mengirimkan sejumlah besar paket ke domain yang ditargetkan.
Para peniliti mengatakan bahwa untuk meningkatkan serangan melalui resolver rekursif, penyerang harus memiliki server otoritatif.
NXNSAttack bekerja dengan mengirimkan permintaan untuk domain yang dikontrol oleh penyerang (mis., “attacker.com”) ke server resolver DNS yang rentan, lalu meneruskan permintaan DNS ke server otoritatif yang dikendalikan penyerang.
Alih-alih mengembalikan alamat ke server otoritatif yang sebenarnya, server otoritatif yang dikendalikan penyerang merespons permintaan DNS dengan daftar nameserver atau subdomain palsu yang dikendalikan oleh penyerang yang merujuk ke domain DNS korban.
Kemudian server DNS meneruskan kueri ke semua subdomain yang sebenarnya tidak ada dan menciptakan lonjakan besar trafik ke situs korban.
Terlebih lagi, menggunakan botnet seperti Mirai sebagai klien DNS bisa meningkatkan skala serangan.
Oleh karena itu, sangat disarankan administrator jaringan yang menjalankan server DNS sendiri agar segera memperbarui perangkat lunak resolver DNS ke versi terbaru.
