Търсене
Close this search box.

Сериозна уязвимост, наречена KeyTrap, във функцията Domain Name System Security Extensions (DNSSEC) може да бъде използвана, за да се откаже достъп до интернет на приложения за продължителен период от време.

KeyTrap, проследена като CVE-2023-50387, е проблем в дизайна на DNSSEC и засяга всички популярни имплементации или услуги на системата за имена на домейни (DNS).

Тя позволява на отдалечен нападател да предизвика дълготрайно състояние на отказ на услуга (DoS) в уязвими резолвери чрез изпращане на един DNS пакет.

DNS е това, което позволява на нас, хората, да получаваме достъп до онлайн местоположения, като въвеждаме имена на домейни вместо IP адреса на сървъра, към който трябва да се свърже нашият компютър.

DNSSEC е функция на DNS, която внася криптографски подписи в DNS записите, като по този начин осигурява удостоверяване на отговорите; тази проверка гарантира, че DNS данните идват от източника – авторитетния сървър за имена – и не са били променени по пътя, за да ви насочат към злонамерено място.

Значителни щети при една заявка за атака

KeyTrap присъства в стандарта DNSSEC повече от две десетилетия и е открит от изследователи от Националния изследователски център за приложна киберсигурност ATHENE, заедно с експерти от университета Гьоте във Франкфурт, Fraunhofer SIT и Техническия университет в Дармщат.

Изследователите обясняват, че проблемът произтича от изискването на DNSSEC да се изпратят всички съответни криптографски ключове за поддържаните шифри и съответните подписи, за да се извърши валидирането.

Процесът е един и същ, дори ако някои DNSSEC ключове са неправилно конфигурирани, некоректни или принадлежат на шифри, които не се поддържат.

Възползвайки се от тази уязвимост, изследователите са разработили нов клас атаки, базирани на алгоритмичната сложност на DNSSEC, които могат да увеличат с 2 милиона пъти броя на инструкциите на процесора в DNS резолвера, като по този начин забавят отговора му.

Продължителността на това DoS състояние зависи от реализацията на резолвера, но според изследователите една заявка за атака може да задържи отговора от 56 секунди до цели 16 часа.

KeyTrap DoS with one attack request

„Експлоатирането на тази атака би имало сериозни последици за всяко приложение, използващо интернет, включително недостъпност на технологии като сърфиране в уеб, електронна поща и незабавни съобщения“, се казва в разкритието на ATHENE.

„С помощта на KeyTrap нападателят би могъл напълно да деактивира големи части от световния интернет“, казват изследователите.

Пълни подробности за уязвимостта и за това как тя може да се прояви при съвременните реализации на DNS можете да намерите в техническия доклад, публикуван по-рано тази седмица.

Изследователите са демонстрирали как тяхната атака KeyTrap може да повлияе на доставчиците на DNS услуги, като Google и Cloudflare, от началото на ноември 2023 г. и са работили с тях за разработване на смекчаващи мерки.

DNS implementations vulnerable to KeyTrap

Реализации на DNS, уязвими към KeyTrap (ATHENE)

ATHENE твърди, че KeyTrap присъства в широко използваните стандарти от 1999 г. насам, така че е останал незабелязан в продължение на почти 25 години, главно поради сложността на изискванията за валидиране на DNSSEC.

Въпреки че засегнатите доставчици вече са предложили поправки или са в процес на намаляване на риска от KeyTrap, ATHENE заявява, че решаването на проблема на фундаментално ниво може да изисква преоценка на философията на дизайна на DNSSEC.

В отговор на заплахата KeyTrap Akamai разработи и внедри между декември 2023 г. и февруари 2024 г. смекчаващи мерки за своите рекурсивни резолвери DNSi, включително CacheServe и AnswerX, както и за своите облачни и управлявани решения.

Този пропуск в сигурността можеше да позволи на нападателите да причинят сериозни смущения във функционирането на интернет, като изложат една трета от DNS сървърите в света на високоефективна атака за отказ на услуга (DoS) и потенциално да засегнат повече от един милиард потребители. – написаха от Akamai

Akamai отбелязва, че въз основа на данни от APNIC приблизително 35% от базираните в САЩ и 30% от потребителите на интернет по света разчитат на DNS резолвери, които използват DNSSEC валидиране и следователно са уязвими към KeyTrap.

Въпреки че интернет компанията не споделя много подробности за действителните смекчаващи мерки, които е приложила, в документа на ATHENE се описва решението на Akamai като ограничаване на криптографските неуспехи до максимум 32, което прави практически невъзможно изчерпването на ресурсите на процесора и предизвикването на застой.

Корекциите вече са налични в DNS услугите на Google и Cloudflare.

 

Източник: e-security.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
26/09/2024

Поредна уязвимост на Ivanti...

Уязвимост, засягаща контролера за доставка на...
21/09/2024

Тor реагира подобаващо на г...

Поддържащите мрежата за анонимност Tor отговориха...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!