พบช่องโหว่ DNS ทำให้แฮกเกอร์โจมตีด้วย DDoS ขนาดใหญ่ได้

นักวิจัยด้าน Security ของอิสราเอลเปิดเผยรายละเอียดช่องโหว่ที่ส่งผลกระทบต่อ DNS ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการใช้ DDoS เพื่อโจมตีให้เว็บไซต์เป้าหมายหยุดการทำงาน วิธีการนี้ถูกเรียกว่า NXNSAttack ซึ่งเป็นข้อบกพร่องกลไกของ DNS ที่จะบังคับให้ DNS ทำการ resolvers ชื่อ Domain และจะสร้าง DNS queries จำนวนมากไปยังเครื่องที่ตกเป็นเป้าหมายของแฮกเกอร์ โดยอาจใช้ botnet เพื่อสร้างความเสียหายไปยัง online services

วิธีการเกิด NXNSAttack

จากรูปข้างต้นจะเห็นได้ว่า มีการค้นหา DNS แบบเรียกซ้ำเกิดขึ้น เมื่อ DNS Server สื่อสารไปยัง Authoritative DNS servers หลาย ๆ ตัวตามลำดับ เพื่อทำการระบุ IP address ที่มีความเชื่อมโยงกับ Domain เช่น www.google.com และส่งกลับไปยังผู้ใช้ โดยจะเริ่มจาก DNS resolver ที่ควบคุมด้วย ISP หรืออาจเป็น public DNS servers ขึ้นอยู่กับการตั้งค่าที่ร้องขอไปยัง authoritative DNS name โดยจะต้องระบุ IP address เพื่อทำระบบ Domain name แต่ถ้าไม่สามารถระบุ IP address ระบบก็จะส่งคำร้องขอไปยัง first authoritative DNS name server หรือส่งข้อมูลต่อไปยัง Authoritative DNS servers แทน ซึ่งเมื่อส่งข้อมูลไปแล้ว ข้อมูลจะถูกส่งต่อกลับไปยัง DNS resolver เพื่อไปทำการ Query ที่ authoritative DNS name ตัวถัดไป กระบวนการนี้จะดำเนินต่อไปจนกว่า DNS Reslove จะไปถึง authoritative server เพื่อที่ให้อยู่ IP ของ Domain ที่ถูกต้องทำให้ผู้ใช้สามารถเข้าถึงเว็บไซต์ที่ต้องการได้

จุดนี้เองที่นักวิจัยด้าน Security พบว่าแฮกเกอร์สามารถนำไปใช้ประโยชน์ได้ โดยได้ทดลองทำการจด Domain ใหม่ แล้วหลังจากนั้นทำให้ Domain นี้เหมือนกับเป็น authoritative server เมื่อแฮกเกอร์สร้าง NXNSAttack ขึ้นแล้วก็จะทำงานด้วยการส่งคำร้องขอเรียกไปยัง Domain ที่แฮกเกอร์ควบคุม (เช่น “attacker.com”) ไปสู่ DNS resolving server ที่มีช่องโหว่ จากนั้นซึ่งจะส่งต่อ DNS query ไปยังเซิร์ฟเวอร์ที่มีสิทธิ์ควบคุมโดยแฮกเกอร์ และแทนที่จะส่งคืนที่อยู่ไปยัง authoritative servers ที่ถูกต้อง แต่แฮกเกอร์จะส่งค่า DNS query ไปยังรายการของ Server name หรือ subdomains ที่ไม่มีอยู่จริงไปยัง Domain ของเป้าหมายแทน เพื่อสร้าง traffic จำนวนมากไปยังไซต์ของเป้าหมายที่แฮกเกอร์ต้องการโจมตี

หลังจากได้รับรายงานเกี่ยวกับการโจมตีของ NXNSAttack พบว่าเป้าหมายของแฮกเกอร์คือ เว็บไซต์พื้นฐานบนอินเทอร์เน็ต เช่น Cloudflare, Google, Amazon, Microsoft, Oracle-owned Dyn, Verisign, และ IBM Quad9 ล่าสุดได้มีการติดตั้ง Patch พื้นแก้ไขปัญหาแล้ว แต่คาดว่ายังมีเว็บไซต์อื่นอีกแต่ยังไม่มีรายงานกล่าวถึงที่อาจจะตกเป็นเหยื่อได้ ดังนั้นสำหรับผู้ดูแลระบบที่มีการติดตั้ง DNS servers เป็นของตัวเองให้รีบ Update DNS resolver software เป็นรุ่นล่าสุดเพื่อรีบอุดช่องโหว่นี้ทันที

ที่มา: https://thehackernews.com/2020/05/dns-server-ddos-attack.html