La falla consente a un utente malintenzionato di forzare qualsiasi DNS resolver ricorsivo a inviare un numero elevato di query (Distributed denial-of-service) al server DNS autorevole della vittima.
L’aspetto che viene sfruttato è la delega glueless, dove un glue record corrisponde agli indirizzi IP di un name server (ossia un DNS server).
Petr Špa?ek scrive ul blog di CZ.NIC che
“Questa è la cosiddetta delega glueless, ovvero una delega che contiene solo nomi di server DNS autorevoli (a.iana-servers.net. oppure b.iana-servers.net.), ma non contiene i loro indirizzi IP.
Ovviamente DNS risolutore non può inviare una query a “nome”, quindi il risolutore deve prima ottenere l’indirizzo IPv4 o IPv6 del server autorevole “a.iana-servers.net”. o “b.iana-servers.net.” e solo allora può continuare a risolvere la query originale “esempio.com. A”. Questa delega glueless è il principio base di NXNSAttack: il server compromesso semplicemente restituisce la delega con nomi di server falsi (casuali) che puntano al dominio DNS della vittima, costringendo così il risolutore per generare query verso i server DNS delle vittime (in un inutile tentativo di risolvere falsi nomi di server autorevoli).
Molteplici i server DNS affetti da questo problema tra cui Bind, PowerDNS, i DNS di Cloudflare, Google, Amazon, Microsoft.
Si consiglia di aggiornare al più presto i propri pacchetti sulle varie distribuzioni Linux. Rimanente in attesa per quelle che non è ancora disponibile l’aggiornamento.
Dettagli nel documento: http://www.nxnsattack.com/dns-ns-paper.pdf