Il difetto, soprannominato TsuNAME, è stato scoperto dai ricercatori di SIDN Labs (il team di ricerca e sviluppo del registro per i domini .nl), InternetNZ (il registro per i domini .nz) e l’Information Science Institute presso l’Università della California meridionale.
Le organizzazioni interessate sono state informate e hanno ricevuto 90 giorni di tempo per agire prima che la vulnerabilità fosse divulgata. Google e Cisco, che forniscono entrambi servizi DNS ampiamente utilizzati, hanno distribuito patch per TsuNAME, ma i ricercatori ritengono che molti server siano ancora vulnerabili agli attacchi.
Un utente malintenzionato può abusare dei risolutori ricorsivi interessati da TsuNAME per inviare un grande volume di query a server autorevoli mirati, come quelli degli operatori TLD.
TsuNAME si verifica sui server in cui è presente una dipendenza ciclica, un errore di configurazione causato dai record NS per due zone che puntano l’una all’altra.
“TsuNAME si verifica quando i nomi di dominio sono configurati in modo errato con record DNS dipendenti ciclici e quando i resolver vulnerabili accedono a queste configurazioni errate, iniziano a eseguire il loop e inviano rapidamente query DNS a server autorevoli e altri risolutori”, hanno spiegato i ricercatori in un documento che descrive la vulnerabilità.
Hanno anche spiegato in un avviso separato: “I resolver vulnerabili a TsuNAME invieranno query ininterrotte a server autorevoli che hanno record dipendenti ciclici. Anche se è improbabile che un resolver possa sopraffare un server autorevole, l’effetto aggregato di molti resolver ricorsivi vulnerabili in loop può anche farlo”.
Un simile incidente è stato osservato anche nel 2020, quando i server autorevoli per il TLD .nz della Nuova Zelanda hanno registrato un aumento del 50% nelle query. Un’analisi ha mostrato che il picco è stato causato da solo due domini configurati in modo errato con dipendenze cicliche.
“Si noti che un semplice errore di configurazione di due domini porta a una crescita del traffico del 50%. Ci si potrebbe chiedere cosa succederebbe se un attacco motivato eseguisse questo con centinaia o migliaia di domini “, hanno detto i ricercatori.
Negli ultimi anni sono stati osservati almeno altri due incidenti simili: uno che ha coinvolto un TLD con codice paese europeo (ccTLD), che ha registrato una crescita del traffico di dieci volte a causa dell’incidente; e uno che coinvolge Google che invia un grande volume di query ai server di un operatore anycast.
I ricercatori hanno condiviso raccomandazioni sia per autorevoli operatori di server che per sviluppatori di software resolver e hanno anche rilasciato uno strumento open source, denominato CycleHunter, che può essere utilizzato dalle organizzazioni per rilevare configurazioni problematiche.
È stato creato un sito Web dedicato per la vulnerabilità TsuNAME.