Сериозна уязвимост, наречена KeyTrap, във функцията Domain Name System Security Extensions (DNSSEC) може да бъде използвана, за да се откаже достъп до интернет на приложения за продължителен период от време.
KeyTrap, проследена като CVE-2023-50387, е проблем в дизайна на DNSSEC и засяга всички популярни имплементации или услуги на системата за имена на домейни (DNS).
Тя позволява на отдалечен нападател да предизвика дълготрайно състояние на отказ на услуга (DoS) в уязвими резолвери чрез изпращане на един DNS пакет.
DNS е това, което позволява на нас, хората, да получаваме достъп до онлайн местоположения, като въвеждаме имена на домейни вместо IP адреса на сървъра, към който трябва да се свърже нашият компютър.
DNSSEC е функция на DNS, която внася криптографски подписи в DNS записите, като по този начин осигурява удостоверяване на отговорите; тази проверка гарантира, че DNS данните идват от източника – авторитетния сървър за имена – и не са били променени по пътя, за да ви насочат към злонамерено място.
KeyTrap присъства в стандарта DNSSEC повече от две десетилетия и е открит от изследователи от Националния изследователски център за приложна киберсигурност ATHENE, заедно с експерти от университета Гьоте във Франкфурт, Fraunhofer SIT и Техническия университет в Дармщат.
Изследователите обясняват, че проблемът произтича от изискването на DNSSEC да се изпратят всички съответни криптографски ключове за поддържаните шифри и съответните подписи, за да се извърши валидирането.
Процесът е един и същ, дори ако някои DNSSEC ключове са неправилно конфигурирани, некоректни или принадлежат на шифри, които не се поддържат.
Възползвайки се от тази уязвимост, изследователите са разработили нов клас атаки, базирани на алгоритмичната сложност на DNSSEC, които могат да увеличат с 2 милиона пъти броя на инструкциите на процесора в DNS резолвера, като по този начин забавят отговора му.
Продължителността на това DoS състояние зависи от реализацията на резолвера, но според изследователите една заявка за атака може да задържи отговора от 56 секунди до цели 16 часа.
„Експлоатирането на тази атака би имало сериозни последици за всяко приложение, използващо интернет, включително недостъпност на технологии като сърфиране в уеб, електронна поща и незабавни съобщения“, се казва в разкритието на ATHENE.
„С помощта на KeyTrap нападателят би могъл напълно да деактивира големи части от световния интернет“, казват изследователите.
Пълни подробности за уязвимостта и за това как тя може да се прояви при съвременните реализации на DNS можете да намерите в техническия доклад, публикуван по-рано тази седмица.
Изследователите са демонстрирали как тяхната атака KeyTrap може да повлияе на доставчиците на DNS услуги, като Google и Cloudflare, от началото на ноември 2023 г. и са работили с тях за разработване на смекчаващи мерки.
Реализации на DNS, уязвими към KeyTrap (ATHENE)
ATHENE твърди, че KeyTrap присъства в широко използваните стандарти от 1999 г. насам, така че е останал незабелязан в продължение на почти 25 години, главно поради сложността на изискванията за валидиране на DNSSEC.
Въпреки че засегнатите доставчици вече са предложили поправки или са в процес на намаляване на риска от KeyTrap, ATHENE заявява, че решаването на проблема на фундаментално ниво може да изисква преоценка на философията на дизайна на DNSSEC.
В отговор на заплахата KeyTrap Akamai разработи и внедри между декември 2023 г. и февруари 2024 г. смекчаващи мерки за своите рекурсивни резолвери DNSi, включително CacheServe и AnswerX, както и за своите облачни и управлявани решения.
Този пропуск в сигурността можеше да позволи на нападателите да причинят сериозни смущения във функционирането на интернет, като изложат една трета от DNS сървърите в света на високоефективна атака за отказ на услуга (DoS) и потенциално да засегнат повече от един милиард потребители. – написаха от Akamai
Akamai отбелязва, че въз основа на данни от APNIC приблизително 35% от базираните в САЩ и 30% от потребителите на интернет по света разчитат на DNS резолвери, които използват DNSSEC валидиране и следователно са уязвими към KeyTrap.
Въпреки че интернет компанията не споделя много подробности за действителните смекчаващи мерки, които е приложила, в документа на ATHENE се описва решението на Akamai като ограничаване на криптографските неуспехи до максимум 32, което прави практически невъзможно изчерпването на ресурсите на процесора и предизвикването на застой.
Корекциите вече са налични в DNS услугите на Google и Cloudflare.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.