Μια σοβαρή ευπάθεια που ονομάζεται KeyTrap στη δυνατότητα Επεκτάσεις Ασφαλείας Συστήματος Ονομάτων Τομέα (DNSSEC) θα μπορούσε να χρησιμοποιηθεί για την άρνηση πρόσβασης στο
Διαδίκτυο
σε εφαρμογές για μεγάλο χρονικό διάστημα.
Παρακολούθηση ως CVE-2023-50387, το KeyTrap είναι ένα ζήτημα σχεδιασμού στο DNSSEC και επηρεάζει όλες
τι
ς δημοφιλείς εφαρμογές ή υπηρεσίες του Συστήματος Ονομάτων Τομέα (DNS).
Επιτρέπει σε έναν απομακρυσμένο εισβολέα να προκαλέσει μια μακροχρόνια κατάσταση άρνησης υπηρεσίας (DoS) σε ευάλωτες συσκευές επίλυσης, στέλνοντας ένα μόνο πακέτο DNS.
Το DNS είναι αυτό που επιτρέπει σε εμάς τους ανθρώπους να έχουμε πρόσβαση σε τοποθεσίες στο διαδίκτυο πληκτρολογώντας ονόματα τομέα αντί για τη διεύθυνση IP του διακομιστή με την οποία πρέπει να συνδεθεί ο υπολογιστής μας.
Το DNSSEC είναι ένα
χαρακτηριστικό
του DNS που φέρνει κρυπτογραφικές υπογραφές στις εγγραφές DNS, παρέχοντας έτσι έλεγχο ταυτότητας στις απαντήσεις. Αυτή η επαλήθευση διασφαλίζει ότι τα δεδομένα DNS προέρχονται από την πηγή, τον έγκυρο διακομιστή ονομάτων του, και δεν έχουν τροποποιηθεί κατά τη διαδρομή για να σας δρομολογήσουν σε μια κακόβουλη τοποθεσία.
Σημαντική ζημιά σε ένα αίτημα επίθεσης
Το KeyTrap είναι παρόν στο πρότυπο DNSSEC εδώ και δύο δεκαετίες και ανακαλύφθηκε από ερευνητές από το Εθνικό Κέντρο Ερευνών για την Εφαρμοσμένη Κυβερνοασφάλεια ATHENE, μαζί με ειδικούς από το Πανεπιστήμιο Goethe της Φρανκφούρτης, το Fraunhofer SIT και το Τεχνικό Πανεπιστήμιο του Darmstadt.
Οι ερευνητές εξηγούν ότι το πρόβλημα πηγάζει από την απαίτηση του DNSSEC να στείλει όλα τα σχετικά κρυπτογραφικά κλειδιά για τους υποστηριζόμενους κρυπτογράφησης και τις αντίστοιχες υπογραφές για να συμβεί η επικύρωση.
Η διαδικασία είναι η ίδια ακόμα κι αν ορισμένα κλειδιά DNSSEC έχουν λανθασμένη ρύθμιση παραμέτρων, λανθασμένα ή ανήκουν σε κρυπτογράφηση που δεν υποστηρίζονται.
Εκμεταλλευόμενοι αυτήν την ευπάθεια, οι ερευνητές ανέπτυξαν μια νέα κατηγορία αλγοριθμικών επιθέσεων πολυπλοκότητας που βασίζονται σε DNSSEC που μπορούν να αυξήσουν κατά 2 εκατομμύρια φορές τον αριθμό των εντολών της CPU σε έναν αναλυτή DNS, καθυστερώντας έτσι την απόκρισή του.
Η διάρκεια αυτής της κατάστασης DoS εξαρτάται από την υλοποίηση του προγράμματος επίλυσης, αλλά οι ερευνητές λένε ότι ένα μόνο αίτημα επίθεσης μπορεί να κρατήσει την απόκριση από 56 δευτερόλεπτα έως και 16 ώρες.
Καθυστέρηση επίλυσης DNS στην επίθεση KeyTrap με ένα αίτημα
«Η εκμετάλλευση αυτής της επίθεσης θα είχε σοβαρές συνέπειες για οποιαδήποτε εφαρμογή που χρησιμοποιεί το Διαδίκτυο, συμπεριλαμβανομένης της μη διαθεσιμότητας
τεχν
ολογιών όπως η περιήγηση στο web, το ηλεκτρονικό ταχυδρομείο και η ανταλλαγή άμεσων μηνυμάτων», αναφέρεται
Η αποκάλυψη της ΑΘΗΝΑ
.
«Με το KeyTrap,
ένας
εισβολέας θα μπορούσε να απενεργοποιήσει πλήρως μεγάλα τμήματα του παγκόσμιου Διαδικτύου», λένε οι ερευνητές.
Πλήρεις λεπτομέρειες σχετικά με την ευπάθεια και τον τρόπο με τον οποίο μπορεί να εκδηλωθεί σε σύγχρονες υλοποιήσεις DNS μπορείτε να βρείτε στο α
Τεχνική αναφορά
δημοσιεύθηκε νωρίτερα αυτή την εβδομάδα.
Οι ερευνητές έχουν δείξει πώς η επίθεση KeyTrap μπορεί να επηρεάσει τους παρόχους υπηρεσιών DNS, όπως η Google και το Cloudflare, από τις αρχές Νοεμβρίου 2023 και συνεργάστηκαν μαζί τους για την ανάπτυξη μετριασμού.
Εφαρμογές DNS ευάλωτες στο KeyTrap
(ΑΘΗΝΑ)
Η ATHENE λέει ότι το KeyTrap είναι παρόν σε ευρέως χρησιμοποιούμενα πρότυπα από το 1999, επομένως πέρασε απαρατήρητο για σχεδόν 25 χρόνια, κυρίως λόγω της πολυπλοκότητας των απαιτήσεων επικύρωσης DNSSEC.
Αν και οι επηρεαζόμενοι προμηθευτές έχουν ήδη προωθήσει διορθώσεις ή βρίσκονται στη διαδικασία μετριασμού του κινδύνου KeyTrap, η ATHENE δηλώνει ότι η αντιμετώπιση του ζητήματος σε θεμελιώδες επίπεδο ενδέχεται να απαιτεί επανεκτίμηση της φιλοσοφίας σχεδιασμού DNSSEC.
Ως απάντηση στην απειλή KeyTrap,
Το Akamai αναπτύχθηκε και αναπτύχθηκε
μεταξύ Δεκεμβρίου 2023 και Φεβρουαρίου 2024, μετριασμούς για τους αναδρομικούς αναλυτές DNSi, συμπεριλαμβανομένων των CacheServe και AnswerX, καθώς και των cloud και των διαχειριζόμενων λύσεών του.
Αυτό το κενό ασφαλείας θα μπορούσε να έχει επιτρέψει στους εισβολείς να προκαλέσουν μεγάλες διαταραχές στη λειτουργία του διαδικτύου, εκθέτοντας το ένα τρίτο των διακομιστών DNS παγκοσμίως σε μια εξαιρετικά αποτελεσματική επίθεση άρνησης υπηρεσίας (DoS) και ενδεχομένως επηρεάζοντας περισσότερους από ένα δισεκατομμύριο χρήστες. – Ακάμαι
Ο Akamai σημειώνει ότι με βάση τα δεδομένα APNIC, περίπου το 35% των χρηστών του διαδικτύου που εδρεύουν στις ΗΠΑ και το 30% των χρηστών του διαδικτύου παγκοσμίως βασίζονται σε συσκευές ανάλυσης DNS που χρησιμοποιούν επικύρωση DNSSEC και, ως εκ τούτου, είναι ευάλωτοι στο KeyTrap.
Παρόλο που η εταιρεία διαδικτύου δεν μοιράστηκε πολλές λεπτομέρειες σχετικά με τους πραγματικούς μετριασμούς που εφάρμοσε, το έγγραφο της ATHENE περιγράφει τη λύση του Akamai ως περιορισμό των κρυπτογραφικών αστοχιών σε μέγιστο αριθμό 32, καθιστώντας πρακτικά αδύνατη την εξάντληση των πόρων της CPU και την πρόκληση διακοπής λειτουργίας.
Διορθώσεις υπάρχουν ήδη σε υπηρεσίες DNS από την Google και το Cloudflare.
VIA:
bleepingcomputer.com