Серьезная уязвимость под названием KeyTrap в функции Domain Name System Security Extensions (DNSSEC) может быть использована для запрета доступа приложений в интернет в течение длительного времени.
Отслеживаемая как CVE-2023-50387, KeyTrap является проблемой дизайна в DNSSEC и затрагивает все популярные реализации или сервисы системы доменных имен (DNS).
Она позволяет удаленному злоумышленнику вызвать длительный отказ в обслуживании (DoS) в уязвимых резолверах путем отправки одного DNS-пакета.
DNS - это то, что позволяет нам, людям, получать доступ к интернету, вводя доменные имена вместо IP-адреса сервера, к которому должен подключиться наш компьютер.
DNSSEC - это функция DNS, которая вносит криптографические подписи в записи DNS, обеспечивая таким образом аутентификацию ответов; эта проверка гарантирует, что данные DNS поступают от источника - авторитетного сервера имен - и не были изменены по пути, чтобы направить вас на вредоносное место.
Значительный ущерб от одного запроса на атаку
KeyTrap присутствует в стандарте DNSSEC уже более двух десятилетий, а обнаружили его исследователи из Национального исследовательского центра прикладной кибербезопасности ATHENE, а также эксперты из Университета Гете во Франкфурте, Fraunhofer SIT и Технического университета Дармштадта.
Исследователи объясняют, что проблема связана с требованием DNSSEC отправлять все соответствующие криптографические ключи для поддерживаемых шифров и соответствующие подписи для проверки.
Процесс происходит одинаково, даже если некоторые ключи DNSSEC неправильно сконфигурированы, неверны или принадлежат к шифрам, которые не поддерживаются.
Воспользовавшись этой уязвимостью, исследователи разработали новый класс атак на алгоритмическую сложность на основе DNSSEC, которые могут в 2 миллиона раз увеличить количество инструкций процессора в DNS-резольвере, тем самым задерживая его ответ.
Продолжительность этого DoS-состояния зависит от реализации резолвера, но, по словам исследователей, один запрос атаки может задержать ответ от 56 секунд до 16 часов.

"Эксплуатация этой атаки приведет к серьезным последствиям для любого приложения, использующего Интернет, включая недоступность таких технологий, как веб-браузинг, электронная почта и обмен мгновенными сообщениями", - говорится в разоблачении ATHENE.
"С помощью KeyTrap злоумышленник может полностью вывести из строя большую часть всемирной сети Интернет", - говорят исследователи.
Полные подробности об уязвимости и о том, как она может проявиться в современных реализациях DNS, можно найти в техническом отчете, опубликованном ранее на этой неделе.
Исследователи продемонстрировали, как их атака KeyTrap может повлиять на поставщиков DNS-услуг, таких как Google и Cloudflare, с начала ноября 2023 года и совместно с ними разработали меры по ее устранению.

По словам ATHENE, KeyTrap присутствует в широко используемых стандартах с 1999 года, поэтому почти 25 лет он оставался незамеченным, в основном из-за сложности требований к проверке DNSSEC.
Несмотря на то, что пострадавшие поставщики уже выпустили исправления или находятся в процессе снижения риска KeyTrap, ATHENE утверждает, что решение проблемы на фундаментальном уровне может потребовать переоценки философии разработки DNSSEC.
В ответ на угрозу KeyTrap компания Akamai разработала и развернула в период с декабря 2023 года по февраль 2024 года средства защиты для своих рекурсивных преобразователей DNSi, включая CacheServe и AnswerX, а также для своих облачных и управляемых решений.
Этот пробел в системе безопасности мог позволить злоумышленникам вызвать серьезные сбои в работе Интернета, подвергнув треть DNS-серверов по всему миру высокоэффективной атаке типа "отказ в обслуживании" (DoS) и потенциально затронув более одного миллиарда пользователей. - Akamai
Akamai отмечает, что, по данным APNIC, около 35% американских и 30% мировых пользователей Интернета используют DNS-резолверы, использующие проверку DNSSEC, и, следовательно, уязвимы для KeyTrap.
Хотя интернет-компания не поделилась подробной информацией о том, какие именно меры были приняты, в статье ATHENE описывается, что решение Akamai ограничивает количество криптографических сбоев до 32, что делает практически невозможным исчерпание ресурсов процессора и задержку в работе.
Исправления уже присутствуют в DNS-сервисах Google и Cloudflare.
Понравилась новость? Тогда не забудь оставить свой комментарий.
А так же, добавь наш сайт в закладки (нажми Ctrl+D), не теряй нас.
Комментарии