Благодаря 24-летней уязвимости безопасности злоумышленники могли остановить DNS-серверы с помощью всего лишь одного вредоносного пакета.
Хотя он существует с 2000 года, исследователям совсем недавно удалось обнаружить фундаментальный недостаток конструкции в расширении безопасности системы доменных имен (DNS), которое при определенных обстоятельствах может быть использовано для отключения обширных пространств Интернета.
DNS-серверы преобразуют URL-адреса веб-сайтов в IP-адреса и, в основном незаметно, передают весь интернет-трафик.
За открытием стоит команда из Национального исследовательского центра прикладной кибербезопасности ATHENE в Германии. Они назвали уязвимость безопасности «KeyTrap» и отслеживают ее как CVE-2023-50387 . Согласно их новому отчету об ошибке KeyTrap DNS , исследователи обнаружили, что один пакет, отправленный на реализацию DNS-сервера с использованием расширения DNSSEC для проверки трафика, может заставить сервер войти в цикл разрешения, который заставит его потреблять всю свою собственную вычислительную мощность.
По мнению команды ученых, если бы несколько DNS-серверов были использованы одновременно с KeyTrap, они могли бы выйти из строя одновременно, что привело бы к массовым сбоям в работе Интернета.
При тестировании продолжительность времени, в течение которого DNS-серверы оставались в автономном режиме после атаки, различалась, но в отчете отмечается, что Bind 9, наиболее широко используемая реализация DNS, может оставаться остановленной до 16 часов.
По данным Консорциума интернет-систем (ISC), который контролирует DNS- серверы по всему миру, 34% DNS-серверов в Северной Америке используют DNSSEC для аутентификации и поэтому уязвимы для этой уязвимости.
Хорошей новостью является то, что, согласно отчету и ISC, пока нет никаких свидетельств активного использования.
Новый класс DNS-кибератак
KeyTrap представляет собой совершенно новый класс кибератак , который команда назвала «Атаки с алгоритмической сложностью».
Исследовательская группа провела последние несколько месяцев, работая с крупными поставщиками услуг DNS, включая Google и Cloudflare, над развертыванием необходимых исправлений, прежде чем публиковать свою работу. Команда отметила, что исправления являются лишь временным решением и что они работают над пересмотром стандартов DNSSEC, чтобы полностью переосмыслить свою структуру.
«Исследователи работали со всеми соответствующими поставщиками и основными поставщиками общедоступных DNS в течение нескольких месяцев, в результате чего был разработан ряд исправлений для конкретных поставщиков, последние из которых были опубликованы во вторник, 13 февраля», — говорится в отчете. «Всем поставщикам услуг DNS настоятельно рекомендуется немедленно применить эти исправления, чтобы устранить эту критическую уязвимость».
Фернандо Монтенегро, старший главный аналитик Omdia по кибербезопасности, хвалит исследователей за обнаружение недостатка в тесной координации с экосистемой поставщиков.
«Слава исследователям», — говорит Монтенегро. «Это было раскрыто совместно с исследователями, поставщиками услуг и лицами, ответственными за создание патча».
«С этого момента поставщики услуг должны найти путь к постоянному исправлению затронутых DNS-преобразователей», — добавляет он.
«Теперь ответственность перекладывается на людей, использующих DNS-серверы, которые должны получить последнюю версию и исправить уязвимость», — говорит Монтенегро.
ISC не рекомендует администраторам отключать проверку DNSSEC на DNS-серверах, даже если это решает проблему. Для тех, кто использует реализацию DNS с открытым исходным кодом Bind 9, у ICS есть обновление .
В заключении ICS говорится: «Вместо этого мы настоятельно рекомендуем установить одну из версий BIND, перечисленных ниже, в которой исключительно сложная проверка DNSSEC больше не будет препятствовать рабочей нагрузке другого сервера».