“Με το KeyTrap, ένας εισβολέας θα μπορούσε να απενεργοποιήσει πλήρως μεγάλα τμήματα του παγκόσμιου Διαδικτύου” — αυτή η απατηλά απλή κυβερνοεπίθεση θα μπορούσε να καταδικάσει τις εφαρμογές παντού

Ερευνητές ασφαλείας ανακάλυψαν ένα σημαντικό ελάττωμα στο σύστημα DNS που θα μπορούσε να «απενεργοποιήσει πλήρως» μεγάλα τμήματα του παγκόσ

μι

ου Διαδικτύου για εκτεταμένες χρονικές περιόδους.

Ερευνητές κυβερνοασφάλειας από το Εθνικό Κέντρο Ερευνών για την Εφαρμοσμένη Κυβερνοασφάλεια ATHENE, το

Πανεπιστήμιο

Goethe Frankfurt, το Fraunhofer SIT και το Τεχνικό Πανεπιστήμιο του Darmstadt, βρήκαν πρόσφατα ένα ελάττωμα στο Domain Name System Security Extension (DNSSEC), ένα πρωτόκολλο ασφαλείας που προσθέτει ένα επιπλέον επίπεδο προστασίας στο Σύστημα Ονομάτων Τομέα (DNS).

Με το DNSSEC, οι εγγραφές DNS λαμβάνουν μια ψηφιακή υπογραφή που επιβεβαιώνει ότι δεν έχουν αλλάξει ή πλαστογραφηθεί κατά τη μεταφορά.

Διαθέσιμες διορθώσεις

Το ελάττωμα, το οποίο εντοπίστηκε ως CVE-2023-50387, ονομάστηκε KeyTrap και εν συντομία – επιτρέπει στους παράγοντες απειλών να πραγματοποιούν μακροχρόνιες επιθέσεις άρνησης υπηρεσίας (DoS) εναντίον διαφόρων διαδικτυακών εφαρμογών και προγραμμάτων. «Η εκμετάλλευση αυτής της επίθεσης θα είχε σοβαρές συνέπειες για οποιαδήποτε

εφαρμογή

που χρησιμοποιεί το Διαδίκτυο, συμπεριλαμβανομένης της μη διαθεσιμότητας τεχνολογιών όπως η περιήγηση στο web, το ηλεκτρονικό ταχυδρομείο και η ανταλλαγή άμεσων μηνυμάτων», ανέφερε η ATHENE σε μια συμβουλευτική ανακοίνωση. «Με το KeyTrap, ένας εισβολέας θα μπορούσε να απενεργοποιήσει πλήρως μεγάλα τμήματα του παγκόσμιου Διαδικτύου», προειδοποίησαν οι ερευνητές.

Αναπτύχθηκε ήδη μια ενημερωμένη έκδοση κώδικα και αναπτύσσεται κατά τη διάρκεια του τύπου.

Τα στοιχεία του Akamai δείχνουν ότι σχεδόν το ένα τρίτο όλων των χρηστών του Διαδικτύου είναι επιρρεπείς στο KeyTrap,



BleepingComputer



έχουν αναφερθεί.

Η ευπάθεια, εξήγησαν περαιτέρω, ήταν παρούσα στο DNSSEC για περισσότερες από δύο δεκαετίες, αλλά ποτέ δεν ανακαλύφθηκε ή αξιοποιήθηκε λόγω της πολυπλοκότητας των απαιτήσεων επικύρωσης DNSSEC. Οι επιθέσεις θα οδηγούσαν σε άρνηση εξυπηρέτησης που θα διαρκούσε οπουδήποτε από ένα λεπτό έως 16 ώρες.

Στις αρχές Νοεμβρίου 2023, οι ερευνητές επέδειξαν τα ευρήματά τους στην

Google

και στο Cloudflare, με τους οποίους εργάζονται από τότε για μετριασμούς.

Τώρα

, η Akamai κυκλοφόρησε ήδη μετριασμούς για τους αναδρομικούς αναλυτές DNSi και τόσο η Google όσο και το Cloudflare ανέπτυξαν και τις ενημερώσεις κώδικα τους.

Αν και η επιδιόρθωση του προβλήματος είναι καλά νέα, οι ερευνητές τονίζουν ότι για να είμαστε ασφαλείς από μελλοντικές παρόμοιες απειλές, θα πρέπει να επανεκτιμηθεί ολόκληρη η φιλοσοφία σχεδιασμού DNSSEC.