Sicherheitslücke in DNS-Server-Software ermöglicht massive DDoS-Angriffe

Israelische Sicherheitsforscher haben Details zu einer Schwachstelle in DNS-Servern veröffentlicht. Sie ermöglicht einen NXNSAttack genannten Angriff, der wiederum benutzt werden kann, um DNS-Server per Distributed Denial of Service (DDoS) lahmzulegen.

Betroffen sind allerdings nur rekursive DNS-Server, die Daten von einem anderen Nameserver holen und somit die DNS-Auflösung delegieren. Die Auflösung selbst findet auf einem autoritativen DNS-Server statt, also den Servern, die Kopien von DNS-Einträgen vorhalten und zur Auflösung berechtigt sind. Allerdings können autoritative DNS-Server die Auflösung ebenfalls an alternative DNS-Server ihrer Wahl delegieren.

Die Forscher der Tel Aviv University und des Interdisciplinary Center in Herzliya haben nach eigenen Angaben eine Möglichkeit entdeckt, den Vorgang der Delegierung von DNS-Anfragen für DDoS-Angriffe zu nutzen. Zu diesem Zweck sendet ein Angreifer eine DNS-Anfrage an einen rekursiven DNS-Server. Die Anfrage muss für eine Domain sein, die von einem autoritativen DNS-Server verwaltet wird, der unter der Kontrolle der Angreifer steht.

Das der rekursive DNS-Server nicht berechtigt ist, die Anfrage aufzulösen, leitet er sie an den Server weiter, der von den Hackern kontrolliert wird. Dieser Server antwortet mit einer Nachricht, wonach er die Auflösung an eine große Liste mit Name-Servern delegiert. Diese Liste enthält Tausende Subdomains für die Website eines Opfers. Der rekursive DNS-Server leitet die DNS-Anfrage nun an alle Subdomains auf der Liste weiter, was zu einem enormen Anstieg des Traffics für den autoritativen DNS-Server des Opfers führt.

Besonders gefährlich ist NXNSAttack, weil eine einfache DNS-Anfrage auf das bis zu 1620-fache ihrer ursprüngliche Größe verstärkt werden kann. Wird der DNS-Server des Opfers lahmgelegt, können Nutzer als Folge auch nicht mehr auf dessen Website zugreifen – die Domain der Seite kann schlichtweg nicht mehr aufgelöst werden.

Üblicherweise lassen sich DDoS-Angriffe den Forschern zufolge um Faktor zwei bis zehn Verstärken. Zwar sei im Fall von NXNSAttack der Verstärkungsfaktor PAF von der verwendeten DNS-Server-Software abhängig, er liege aber stets deutlich über dem Faktor zehn. Deswegen sei NXNSAttack einer der schwerwiegendsten DDoS-Angriffe aller Zeiten.

Um das Problem zu lösen, arbeiteten die Forscher in den vergangenen Monaten mit Anbietern von DNS-Software, Content Delivery Networks und Managed DNS-Servern zusammen. Betroffen sind unter anderem die Anwendungen ISC BIND, NLnet Labs Unbound, PowerDNS, CZ.NIC Knot Resolver. Aber auch kommerzielle DNS-Dienste von Cloudflare, Google, Amazon, Microsoft, Oracle, Verisign und ICANN sind angreifbar.

Patches wurden in den vergangenen Tagen und Wochen veröffentlicht. Sie sollen verhindern, dass Angreifer die DNS-Delegierung missbrauchen, um andere DNS-Server mit Traffic zu überhäufen. Betreiber von DNS-Servern sollten ihre Resolver-Software auf die neuste Version aktualisieren.