SAD DNS: Nuevo ataque de envenenamiento de la caché de DNS

SAD DNS: Nuevo ataque de envenenamiento de la caché de DNS

José Antonio Lorenzo

En el año 2008 el envenenamiento de la caché del servidor del Sistema de nombres de dominio (DNS) era un gran quebradero de cabeza. No obstante, los servidores DNS reforzaron su seguridad, y los ataques de este tipo se fueron reduciendo hasta tal punto que eran muy poco frecuentes. Sin embargo, en este año 2020 han tenido un repunte muy importante donde han adquirido una relevancia bastante importante con el nuevo ataque SAD DNS. ¿Quieres conocer todo sobre este nuevo ataque de envenenamiento de la caché de DNS?

La investigación de la UC Riverside

Los investigadores de la Universidad de California en Riverside han descubierto una nueva manera de atacar a los DNS, este nuevo ataque se centra en el envenenamiento de caché de servidores del Sistema de Nombres de Dominio (DNS). Este nuevo ataque ha sido denominado como SAD DNS, y se trata de un grave problema de seguridad que ya están empezando a solucionar los grandes proveedores de DNS. En el año 2008 los ataques de este tipo, se realizaban utilizando direcciones IP spoofeadas, es decir, direcciones IP de origen falsas, de esta forma los ciberdelincuentes podían redirigir nuestro navegador web del sitio web seguro que habíamos escrito en nuestra barra de direcciones, a otro falso infectado de malware o directamente era phishing. Este problema fue solucionado en todos los softwares de servidores DNS, hasta ahora que se ha descubierto una nueva técnica.

A continuación, explicaremos brevemente el funcionamiento de un DNS, y luego procederemos a hablar de SAD DNS, el nuevo ataque de envenenamiento de DNS.

Cambiar los DNS de la operadora

Cómo funciona un servidor DNS

DNS significa Sistema de Nombres de Dominio y viene del acrónimo en inglés Domain Name System. Los servidores DNS se encargan de traducir el nombre de dominio que introducimos en la barra de direcciones de nuestro navegador, en la correspondiente dirección IP para llegar hasta el servidor web que tiene dicha página web que estamos buscando.

Esas webs a las que queremos acceder, están alojadas en servidores web con una determinada IP pública. Cuando escribimos el nombre de esa web, el servidor DNS se encarga de ofrecernos esta IP que necesitamos. Por ejemplo, si escribimos en nuestro navegador en la barra de direcciones 216.58.210.163 cargaremos la web de Google. En resumen, estos servidores DNS son los encargados de traducir lo que escribimos en modo texto a una dirección IP. Esta operación se realiza de este modo, porque es más fácil recordar nombres que números.

Los ataques utilizando SAD DNS

Los investigadores han encontrado un ataque de canal lateral que puede utilizarse con éxito contra los softwares DNS más populares, este no es otro que SAD DNS. Entre los softwares vulnerables se encuentran BIND, Unbound y dnsmasq, de uso muy extendido que se utilizan en Linux y otros sistemas operativos. Un dato importante, es que la mayor vulnerabilidad aparece cuando el sistema operativo y la red del servidor DNS están configurados para permitir mensajes de error ICMP.

El ataque comienza cuando el ciberdelincuente utiliza una vulnerabilidad para falsificar direcciones IP, y un ordenador es capaz de activar una solicitud de un reenviador o resolutor de DNS. Los reenviadores son los que ayudan a resolver dónde se mandan las solicitudes de DNS. Después, los investigadores usaron un canal de red afiliado distinto de los principales utilizados en las solicitudes de DNS. A continuación, determinaron el número de puerto de origen manteniendo el canal abierto el tiempo suficiente para ejecutar 1000 intentos por segundo hasta que consiguieron encontrar el correcto. Para finalizar, con el puerto de origen no aleatorio, los investigadores insertaron una dirección IP maliciosa y se realizó con éxito el ataque.

En el estudio, descubrieron que más del 34% de los servidores DNS actuales es vulnerable al ataque. Sin embargo, un dato preocupante es que el 85% de los servicios DNS públicos gratuitos más populares están expuestos para recibir este tipo de ataques. Si queremos comprobar si estamos expuestos a un ataque de esta clase podemos hacerlo dirigiéndonos a la web de Sad DNS y luego seguir sus instrucciones.

Prevención de los ataques de SAD DNS

Las medidas de defensa modernas como DANE y DNSSEC han frenado en gran medida envenenamiento de caché DNS. No obstante, el problema está en que estos métodos de seguridad de DNS nunca se han implementado de manera suficiente, por lo que aún se siguen realizando este tipo de ataques. En la actualidad, ya tenemos formas de detener estos ataques, uno de ellos sería con DNSSEC. Sin embargo, el problema es que todavía no está suficientemente implementado. Otro método que podríamos usar que también podría ser utilidad sería usar la cookie de DNS RFC 7873.

Por otro lado, la mitigación más simple es no permitir las respuestas ICMP salientes por completo. No obstante, esto conlleva algunos perjuicios ya que perderíamos algunas funciones de diagnóstico y de resolución de problemas de red. Por último, para evitar ataques con SAD DNS lo ideal sería que los servidores implanten cuanto antes DNSSEC. Os recomendamos también acceder directamente a la explicación de SAD DNS de Cloudflare.