網域名稱系統安全擴充套件 (DNSSEC) 功能中存在乙個稱為 Keytrap 的嚴重漏洞,可被利用該漏洞在很長一段時間內拒絕應用程式的 Internet 訪問。
Keytrap 編號為 CVE-2023-50387,是 DNSSEC 中的乙個設計問題,會影響所有常用的網域名稱系統 (DNS) 實現或服務。
它允許遠端攻擊者通過傳送單個 DNS 資料包,在易受攻擊的解析程式中建立長期持續拒絕服務 (DoS) 條件。
DNS允許我們人類通過輸入網域名稱而不是計算機需要連線的伺服器的IP位址來訪問位置。
DNSSEC 是 DNS 的一項功能,它將加密簽名引入 DNS 記錄,為響應提供身份驗證; 此驗證可確保 DNS 資料來自源,即其權威名稱伺服器,並且在將您路由到惡意位置的過程中不會被修改。
Keytrap 在 DNSSEC 標準中已經存在了二十多年,是由國家應用網路安全研究中心 Athene 的研究人員以及法蘭克福歌德大學、弗勞恩霍夫集和達姆施塔特大學的專家發現的。
研究人員解釋說,這個問題源於DNSSEC要求傳送所有相關加密金鑰,以及相應的簽名進行驗證。
即使某些 DNSSEC 金鑰配置錯誤、不正確或屬於不受支援的密碼,該過程也是相同的。
通過利用此漏洞,研究人員開發了一種基於 DNSSEC 的新型演算法複雜性攻擊,該攻擊可能會將 DNS 解析器中的 CPU 指令數量增加 200 萬倍,從而延遲其響應。
這種DOS狀態的持續時間取決於解析器的實現,但研究人員表示,單個攻擊請求可以使響應時間從56秒到16小時不等。
利用這種攻擊將對任何使用網際網絡的應用程式產生嚴重後果,包括網頁瀏覽、電子郵件和即時訊息等技術的不可用,“雅典娜的披露中寫道。
“使用Keytrap,攻擊者可以完全禁用全球大部分網際網絡,”研究人員說。 ”
有關該漏洞及其在現代 DNS 實現中的表現方式的完整詳細資訊,請參閱本週早些時候發布的技術報告。
自 2023 年 11 月初以來,研究人員已經展示了他們的 Keytrap 攻擊如何影響 Google 和 Cloudflare 等 DNS 服務提供商,並正在與他們合作制定緩解措施。
Athene說,KeyTrap自1999年以來一直被廣泛使用,因此在近25年的時間裡一直被忽視,這主要是因為DNSSEC驗證要求的複雜性。
雖然受影響的供應商已經推出了修復程式或正在降低 Keytrap 風險,但 Athene 表示,解決問題的根本原因可能需要重新評估 DNSSEC 的設計理念。
為了應對 Keytrap 威脅,Akamai 在 2023 年 12 月至 2024 年 2 月期間開發並部署了針對 DNSI 遞迴解析器(包括 CacheServe 和 AnswerX)以及雲和託管解決方案的緩解措施。
這種安全漏洞可能允許攻擊者對網際網絡功能造成嚴重破壞,使全球三分之一的 DNS 伺服器面臨高效的拒絕服務 (DoS) 攻擊,並可能影響超過 10 億使用者。 - 阿卡邁。
據Akamai稱,美國約35%的使用者和全球約30%的網際網絡使用者依賴使用DNSSEC身份驗證的DNS解析器,因此容易受到Keytrap攻擊。
儘管這家網際網絡公司沒有透露有關其實施的實際緩解措施的更多細節,但 Athene 的 ** 將 Akamai 的解決方案描述為將加密故障限制在最多 32 次,因此幾乎不可能耗盡 CPU 資源並導致停頓。
Google 和 Cloudflare 的 DNS 服務中已經存在修復程式。