Критическая брешь в DNSSEC требует пересмотра ключевых стандартов безопасности Интернета.
Немецкий национальный исследовательский центр прикладной кибербезопасности ATHENE обнаружил критическую уязвимость в системе безопасности доменных имён (DNSSEC), которая может привести к серьёзным последствиям для работы всего Интернета.
Ошибка, сокрытая в спецификации DNSSEC целых 24 года, позволяет одним лишь пакетом данных перегрузить сервер, делая его недоступным для пользователей. Это открытие может поставить под угрозу стабильность Интернета, поскольку затрагивает основы работы системы доменных имён.
DNSSEC, расширение для системы доменных имён, предназначено для защиты от подмены данных за счёт использования криптографии. Однако обнаруженная уязвимость, получившая название KeyTrap и обозначенная как CVE-2023-50387 , может обойти эту защиту, вызывая чрезмерную нагрузку на процессор сервера.
Исследователи обнаружили, что атака с использованием KeyTrap может полностью блокировать работу публичных DNS-сервисов, таких как Google и Cloudflare.
Последствия атаки могут быть воистину разрушительными, включая нарушение доступа к веб-сайтам, электронной почте и мгновенным сообщениям. По примерным оценкам, около 31% клиентов Интернета по всему миру используют уязвимые DNS-резолверы и могут быть затронуты этой уязвимостью.
Недостаток безопасности позволяет злоумышленникам проводить атаки, заставляя DNS-резолверы выполнять сложные вычисления, что приводит к их остановке на срок от нескольких секунд до 16 часов. Атака основана на специфическом ответе злонамеренного сервера, вызывающем перегрузку процессора при попытке валидации DNSSEC.
Разработчики ПО для DNS-серверов и крупные провайдеры DNS уже выпустили патчи для устранения уязвимости. Google, NLnet Labs и PowerDNS подтвердили выпуск обновлений, направленных на предотвращение эксплуатации KeyTrap. При этом, как отметили исследователи, полное устранение уязвимости потребует конструктивного пересмотра стандарта DNSSEC.
Открытие KeyTrap ставит вопрос о необходимости дальнейшего усовершенствования стандартов безопасности в Интернете и подчёркивает значимость сотрудничества между научным сообществом и индустрией в области кибербезопасности.
Никаких овечек — только отборные научные факты