Търсене
Close this search box.

Сериозна уязвимост, наречена KeyTrap, във функцията DNSSEC

Сериозна уязвимост, наречена KeyTrap, във функцията Domain Name System Security Extensions (DNSSEC) може да бъде използвана, за да се откаже достъп до интернет на приложения за продължителен период от време.

KeyTrap, проследена като CVE-2023-50387, е проблем в дизайна на DNSSEC и засяга всички популярни имплементации или услуги на системата за имена на домейни (DNS).

Тя позволява на отдалечен нападател да предизвика дълготрайно състояние на отказ на услуга (DoS) в уязвими резолвери чрез изпращане на един DNS пакет.

DNS е това, което позволява на нас, хората, да получаваме достъп до онлайн местоположения, като въвеждаме имена на домейни вместо IP адреса на сървъра, към който трябва да се свърже нашият компютър.

DNSSEC е функция на DNS, която внася криптографски подписи в DNS записите, като по този начин осигурява удостоверяване на отговорите; тази проверка гарантира, че DNS данните идват от източника – авторитетния сървър за имена – и не са били променени по пътя, за да ви насочат към злонамерено място.

Значителни щети при една заявка за атака

KeyTrap присъства в стандарта DNSSEC повече от две десетилетия и е открит от изследователи от Националния изследователски център за приложна киберсигурност ATHENE, заедно с експерти от университета Гьоте във Франкфурт, Fraunhofer SIT и Техническия университет в Дармщат.

Изследователите обясняват, че проблемът произтича от изискването на DNSSEC да се изпратят всички съответни криптографски ключове за поддържаните шифри и съответните подписи, за да се извърши валидирането.

Процесът е един и същ, дори ако някои DNSSEC ключове са неправилно конфигурирани, некоректни или принадлежат на шифри, които не се поддържат.

Възползвайки се от тази уязвимост, изследователите са разработили нов клас атаки, базирани на алгоритмичната сложност на DNSSEC, които могат да увеличат с 2 милиона пъти броя на инструкциите на процесора в DNS резолвера, като по този начин забавят отговора му.

Продължителността на това DoS състояние зависи от реализацията на резолвера, но според изследователите една заявка за атака може да задържи отговора от 56 секунди до цели 16 часа.

KeyTrap DoS with one attack request

„Експлоатирането на тази атака би имало сериозни последици за всяко приложение, използващо интернет, включително недостъпност на технологии като сърфиране в уеб, електронна поща и незабавни съобщения“, се казва в разкритието на ATHENE.

„С помощта на KeyTrap нападателят би могъл напълно да деактивира големи части от световния интернет“, казват изследователите.

Пълни подробности за уязвимостта и за това как тя може да се прояви при съвременните реализации на DNS можете да намерите в техническия доклад, публикуван по-рано тази седмица.

Изследователите са демонстрирали как тяхната атака KeyTrap може да повлияе на доставчиците на DNS услуги, като Google и Cloudflare, от началото на ноември 2023 г. и са работили с тях за разработване на смекчаващи мерки.

DNS implementations vulnerable to KeyTrap

Реализации на DNS, уязвими към KeyTrap (ATHENE)

ATHENE твърди, че KeyTrap присъства в широко използваните стандарти от 1999 г. насам, така че е останал незабелязан в продължение на почти 25 години, главно поради сложността на изискванията за валидиране на DNSSEC.

Въпреки че засегнатите доставчици вече са предложили поправки или са в процес на намаляване на риска от KeyTrap, ATHENE заявява, че решаването на проблема на фундаментално ниво може да изисква преоценка на философията на дизайна на DNSSEC.

В отговор на заплахата KeyTrap Akamai разработи и внедри между декември 2023 г. и февруари 2024 г. смекчаващи мерки за своите рекурсивни резолвери DNSi, включително CacheServe и AnswerX, както и за своите облачни и управлявани решения.

Този пропуск в сигурността можеше да позволи на нападателите да причинят сериозни смущения във функционирането на интернет, като изложат една трета от DNS сървърите в света на високоефективна атака за отказ на услуга (DoS) и потенциално да засегнат повече от един милиард потребители. – написаха от Akamai

Akamai отбелязва, че въз основа на данни от APNIC приблизително 35% от базираните в САЩ и 30% от потребителите на интернет по света разчитат на DNS резолвери, които използват DNSSEC валидиране и следователно са уязвими към KeyTrap.

Въпреки че интернет компанията не споделя много подробности за действителните смекчаващи мерки, които е приложила, в документа на ATHENE се описва решението на Akamai като ограничаване на криптографските неуспехи до максимум 32, което прави практически невъзможно изчерпването на ресурсите на процесора и предизвикването на застой.

Корекциите вече са налични в DNS услугите на Google и Cloudflare.

 

Източник: e-security.bg

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Защо е толкова важно да укр...

Доставчиците на управлявани услуги (MSP) са...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!