Атака KeyTrap: Нарушение доступа в Интернет с помощью одного DNS-пакета

Серьезная уязвимость под названием KeyTrap в функции Domain Name System Security Extensions (DNSSEC) может быть использована для запрета доступа приложений в интернет в течение длительного времени.

Отслеживаемая как CVE-2023-50387, KeyTrap является проблемой дизайна в DNSSEC и затрагивает все популярные реализации или сервисы системы доменных имен (DNS).

Она позволяет удаленному злоумышленнику вызвать длительный отказ в обслуживании (DoS) в уязвимых резолверах путем отправки одного DNS-пакета.

DNS - это то, что позволяет нам, людям, получать доступ к интернету, вводя доменные имена вместо IP-адреса сервера, к которому должен подключиться наш компьютер.

DNSSEC - это функция DNS, которая вносит криптографические подписи в записи DNS, обеспечивая таким образом аутентификацию ответов; эта проверка гарантирует, что данные DNS поступают от источника - авторитетного сервера имен - и не были изменены по пути, чтобы направить вас на вредоносное место.

Значительный ущерб от одного запроса на атаку
KeyTrap присутствует в стандарте DNSSEC уже более двух десятилетий, а обнаружили его исследователи из Национального исследовательского центра прикладной кибербезопасности ATHENE, а также эксперты из Университета Гете во Франкфурте, Fraunhofer SIT и Технического университета Дармштадта.

Исследователи объясняют, что проблема связана с требованием DNSSEC отправлять все соответствующие криптографические ключи для поддерживаемых шифров и соответствующие подписи для проверки.

Процесс происходит одинаково, даже если некоторые ключи DNSSEC неправильно сконфигурированы, неверны или принадлежат к шифрам, которые не поддерживаются.

Воспользовавшись этой уязвимостью, исследователи разработали новый класс атак на алгоритмическую сложность на основе DNSSEC, которые могут в 2 миллиона раз увеличить количество инструкций процессора в DNS-резольвере, тем самым задерживая его ответ.

Продолжительность этого DoS-состояния зависит от реализации резолвера, но, по словам исследователей, один запрос атаки может задержать ответ от 56 секунд до 16 часов.

"Эксплуатация этой атаки приведет к серьезным последствиям для любого приложения, использующего Интернет, включая недоступность таких технологий, как веб-браузинг, электронная почта и обмен мгновенными сообщениями", - говорится в разоблачении ATHENE.

"С помощью KeyTrap злоумышленник может полностью вывести из строя большую часть всемирной сети Интернет", - говорят исследователи.

Полные подробности об уязвимости и о том, как она может проявиться в современных реализациях DNS, можно найти в техническом отчете, опубликованном ранее на этой неделе.

Исследователи продемонстрировали, как их атака KeyTrap может повлиять на поставщиков DNS-услуг, таких как Google и Cloudflare, с начала ноября 2023 года и совместно с ними разработали меры по ее устранению.

По словам ATHENE, KeyTrap присутствует в широко используемых стандартах с 1999 года, поэтому почти 25 лет он оставался незамеченным, в основном из-за сложности требований к проверке DNSSEC.

Несмотря на то, что пострадавшие поставщики уже выпустили исправления или находятся в процессе снижения риска KeyTrap, ATHENE утверждает, что решение проблемы на фундаментальном уровне может потребовать переоценки философии разработки DNSSEC.

В ответ на угрозу KeyTrap компания Akamai разработала и развернула в период с декабря 2023 года по февраль 2024 года средства защиты для своих рекурсивных преобразователей DNSi, включая CacheServe и AnswerX, а также для своих облачных и управляемых решений.

Этот пробел в системе безопасности мог позволить злоумышленникам вызвать серьезные сбои в работе Интернета, подвергнув треть DNS-серверов по всему миру высокоэффективной атаке типа "отказ в обслуживании" (DoS) и потенциально затронув более одного миллиарда пользователей. - Akamai

Akamai отмечает, что, по данным APNIC, около 35% американских и 30% мировых пользователей Интернета используют DNS-резолверы, использующие проверку DNSSEC, и, следовательно, уязвимы для KeyTrap.

Хотя интернет-компания не поделилась подробной информацией о том, какие именно меры были приняты, в статье ATHENE описывается, что решение Akamai ограничивает количество криптографических сбоев до 32, что делает практически невозможным исчерпание ресурсов процессора и задержку в работе.

Исправления уже присутствуют в DNS-сервисах Google и Cloudflare.

Атака KeyTrap: Нарушение доступа в Интернет с помощью одного DNS-пакета
Понравилась новость? Тогда не забудь оставить свой комментарий.
А так же, добавь наш сайт в закладки (нажми Ctrl+D), не теряй нас.
18 февраля 2024 г.
60
Теги: KeyTrap

Комментарии

Оставить комментарий:
* отправляя форму, я даю согласие на обработку персональных данных

Читайте еще

ФБР пресекло деятельность российского ботнета Moobot, заражающего маршрутизаторы Ubiquiti

ФБР уничтожило ботнет маршрутизаторов для малых и домашних офисов (SOHO), использовавшийся Главным разведывательным управлением Генштаба России (ГРУ) для передачи вредоносного трафика и проведения атак на США и их союзников с целью спирфишинга и кражи учетных данных.

18 февраля 2024 г.
91

OpenText представляет технологию аудита кибербезопасности нового поколения

Компания OpenText представила второе поколение своей передовой технологии аудита кибербезопасности под названием Fortify Audit Assistant, призванной помочь разработчикам создавать более безопасное программное обеспечение в условиях растущих угроз и сложности мультиоблачных сред.

07 февраля 2024 г.
69

Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!

Только свежие новости программирования и технологий каждый день.

Свежие посты