Vulnerabilidad en varios programas de resolución de DNS (CVE-2022-3204)

Se ha detectado una vulnerabilidad denominada "Non-Responsive Delegation Attack" (NRDelegation Attack) en varios programas de resolución de DNS. El ataque NRDelegation funciona teniendo una delegación maliciosa con un número considerable de servidores de nombre que no responden. El ataque comienza al consultar a un resolver un registro que depende de esos servidores de nombre que no responden. El ataque puede causar que un resolver gaste mucho tiempo/recursos resolviendo registros bajo un punto de delegación malicioso donde reside un número considerable de registros NS que no responden. Puede desencadenar un alto uso de la CPU en algunas implementaciones del resolver que buscan continuamente en la caché los registros NS resueltos en esa delegación. Esto puede conllevar a una degradación del rendimiento y, eventualmente, una denegación de servicio en ataques orquestados. Unbound no sufre un alto uso de la CPU, pero los recursos siguen siendo necesarios para resolver la delegación maliciosa. Unbound seguirá intentando resolver el registro hasta que sean alcanzados los límites establecidos. Según la naturaleza del ataque y las respuestas, pueden alcanzarse diferentes límites. A partir de la versión 1.16.3, Unbound introduce correcciones para mejorar el rendimiento cuando está bajo carga, al recortar las consultas oportunistas para la detección de servidores de nombres y la precarga de DNSKEY y limitando el número de veces que un punto de delegación puede emitir una búsqueda en la caché para los registros faltantes.<br />