Investigadores israelíes de la Universidad de Tel Aviv (TAU) y del Centro Interdisciplinario de Herzliya han descubierto un exploit de Denegación de Servicio Distribuido (DDoS) previamente desconocido, potencialmente frustrando futuros ataques con esta técnica DDoS, según un comunicado de prensa de TAU del jueves.
Como parte de un nuevo estudio, el Prof. Yehuda Afek de la Escuela de Informática Blavatnik de TAU, el Centro Interdisciplinario de Investigación Cibernética Blavatnik y el Instituto Checkpoint y el Prof. Anat Bremler-Barr, vicedecano de la Escuela de Informática Efi Arazi de IDC, con la ayuda del estudiante de doctorado de TAU Lior Shafir, proporcionan una descripción en profundidad de la nueva técnica que puede haber permitido a un pequeño número de ordenadores llevar a cabo un ataque DDoS a escala masiva, lo cual es peligroso para la infraestructura crítica.
Además de su estudio, los investigadores también se pusieron en contacto con Google, Microsoft, Cloudflare, Amazon, Dyn (ahora propiedad de Oracle), Verisign y Quad9, lo que les llevó a actualizar su software de DNS en respuesta a la amenaza. En consecuencia, el Prof. Afek y el Prof. Bremler-Barr han sido responsables de detener cientos de ciberataques.
Haciendo referencia a un gran ciberataque en 2016 que paralizó a Amazon, Reddit, Spotify y Slack a lo largo de la costa este de EE.UU., los investigadores sugieren que la causa puede haberse debido a la debilidad del DNS.
“El DNS es el directorio esencial de Internet. De hecho, sin el DNS, Internet no puede funcionar. Como parte de un estudio de varios aspectos del DNS, descubrimos para nuestra sorpresa una brecha muy seria que podría atacar el DNS y desactivar grandes porciones de la red”, explicó el Prof. Bremler-Barr.
“El ataque en 2016 utilizó más de 1M dispositivos de IO, mientras que aquí vemos el mismo impacto con sólo unos pocos cientos”, añadió el Prof. Afek. “Estamos hablando de una gran amplificación, un gran ciberataque que podría desactivar partes críticas de Internet”.
Apodado “NXNSAttack” (Ataque al Servidor de Nombres Inexistente), esta técnica recién descubierta aprovecha los exploits del software común de DNS que convierte los nombres de dominio en los que se hace clic o se escriben en la barra de direcciones del navegador en direcciones IP. El NXNSAttack puede llevar a un servidor DNS a hacer cientos de miles de peticiones basadas en la única petición del hacker, colapsando el sistema.
“Para montar el NXNSattack”, señala el Prof. Afek, un hacker adquiere por un precio o simplemente penetra, un servidor autorizado, redirigiendo la resolución para enviar cientos de miles de solicitudes a los servidores.
“El atacante envía dicha solicitud varias veces durante un largo período de tiempo, lo que genera un tsunami de solicitudes entre los servidores DNS, que posteriormente se ven desbordados e incapaces de responder a las solicitudes legítimas de los usuarios legítimos reales”.
“Un hacker que descubriera esta vulnerabilidad la habría utilizado para generar un ataque dirigido a un servidor de DNS autorizado o de resolución en lugares concretos del sistema DNS. En cualquier caso, el servidor de ataque estaría incapacitado y sus servicios bloqueados, incapaz de funcionar debido al abrumador número de solicitudes que recibía. Impediría a los usuarios legítimos llegar a los recursos de la Internet que buscaban”, describió Shafir.
“Nuestro descubrimiento ha evitado un importante daño potencial a los servicios web utilizados por millones de usuarios en todo el mundo. El ciberataque de 2016, considerado el mayor de la historia, derribó gran parte de la Internet en los Estados Unidos, pero un ataque como el que hemos evitado ahora podría haber sido más de 800 veces más poderoso”, concluye el profesor Afek.