Μια σοβαρή ευπάθεια με την ονομασία KeyTrap στο χαρακτηριστικό Domain Name System Security Extensions (DNSSEC), θα μπορούσε να εκμεταλλευτεί για να διακόψει την πρόσβαση στο internet σε εφαρμογές, για μεγάλο χρονικό διάστημα.
Δείτε επίσης: Windows 11: Αuto-discovery κρυπτογραφημένου διακομιστή DNS
Καταγεγραμμένο ως CVE-2023-50387, το KeyTrap είναι μία ευπάθεια σχεδιασμού στο DNSSEC και επηρεάζει όλες τις δημοφιλείς υλοποιήσεις ή υπηρεσίες του Domain Name System (DNS). Μια επίθεση από απόσταση επιτρέπει σε έναν εισβολέα να προκαλέσει μια μακροχρόνια κατάσταση απόρριψης υπηρεσίας (DoS) σε ευάλωτους επαναλήπτες με την αποστολή ενός μόνο πακέτου DNS.
Το DNS είναι αυτό που μας επιτρέπει να έχουμε πρόσβαση σε διαδικτυακές τοποθεσίες γράφοντας τα ονόματα των τομέων αντί για τη διεύθυνση IP του διακομιστή που χρειάζεται ο υπολογιστής μας να συνδεθεί.
Το DNSSEC αποτελεί μια λειτουργία του DNS που φέρνει κρυπτογραφικές υπογραφές στις εγγραφές DNS, παρέχοντας έτσι αυθεντικοποίηση στις απαντήσεις. Αυτή η επαλήθευση εξασφαλίζει ότι τα δεδομένα του DNS προέρχονται από την πηγή, το αρμόδιο name server, και δεν έχουν τροποποιηθεί κατά τη διαδρομή για να σας κατευθύνουν προς μια κακόβουλη τοποθεσία.
Η ευπάθεια KeyTrap υπάρχει στο πρότυπο DNSSEC για πάνω από δύο δεκαετίες και ανακαλύφθηκε από ερευνητές του Εθνικού Κέντρου Έρευνας για την Εφαρμοσμένη Κυβερνοασφάλεια ATHENE, μαζί με ειδικούς από το Πανεπιστήμιο Goethe της Φρανκφούρτης, το Fraunhofer SIT και το Πολυτεχνείο του Darmstadt.
Οι ερευνητές εξηγούν ότι το πρόβλημα πηγάζει από την απαίτηση του DNSSEC να στέλνει όλα τα σχετικά κρυπτογραφικά κλειδιά για τους υποστηριζόμενους κρυπτογράφους και τις αντίστοιχες υπογραφές για να πραγματοποιηθεί η επικύρωση. Η διαδικασία παραμένει η ίδια ακόμα κι αν κάποια κλειδιά DNSSEC είναι κακοδιαμορφωμένα, εσφαλμένα ή ανήκουν σε κρυπτογράφους που δεν υποστηρίζονται.
Δείτε ακόμα: ExpressVPN: Bug στο split tunneling feature εξέθετε DNS requests
Αξιοποιώντας την ευπάθεια KeyTrap, οι ερευνητές ανέπτυξαν μια νέα κατηγορία επιθέσεων πολυπλοκότητας αλγορίθμων βασισμένων στο DNSSEC, οι οποίες μπορούν να αυξήσουν κατά 2 εκατομύρια φορές τον αριθμό των εντολών CPU σε ένα πακέτο DNS, καθυστερώντας έτσι την απάντησή του.
Η διάρκεια αυτής της κατάστασης DoS εξαρτάται από την υλοποίηση του επιλυτή, ωστόσο οι ερευνητές αναφέρουν ότι μια μόνο αίτηση επίθεσης μπορεί να κρατήσει την απόκριση από 56 δευτερόλεπτα έως και 16 ώρες.
Ολοκληρωμένες λεπτομέρειες σχετικά με την ευπάθεια και τον τρόπο με τον οποίο μπορεί να εκδηλωθεί σε σύγχρονες υλοποιήσεις DNS μπορεί να βρεθούν σε ένα τεχνικό έγγραφο που δημοσιεύτηκε νωρίτερα αυτήν την εβδομάδα. Οι ερευνητές έχουν επιδείξει πώς η ευπάθεια KeyTrap μπορεί να επηρεάσει τους παροχείς υπηρεσιών DNS, όπως η Google και η Cloudflare, από τις αρχές του Νοεμβρίου 2023 και συνεργάστηκαν μαζί τους για την ανάπτυξη μειώσεων.
Οι διορθώσεις έχουν ήδη εφαρμοστεί στις υπηρεσίες DNS από την Google και την Cloudflare.
Δείτε επίσης: Η Infoblox εφαρμόζει AI στο DNS Traffic για να αντιμετωπίσει το malware
Πώς λειτουργεί ένα πακέτο DNS;
Το DNS (Domain Name System) είναι ένα σύστημα που μετατρέπει τα ονόματα των ιστοσελίδων σε διευθύνσεις IP. Όταν ένας υπολογιστής ζητάει τη διεύθυνση IP μιας ιστοσελίδας, στέλνει ένα πακέτο DNS στον εξυπηρετητή DNS.
Το πακέτο DNS περιέχει πληροφορίες όπως το όνομα του ιστοτόπου που ζητήθηκε και τη διεύθυνση IP του υπολογιστή που έκανε το αίτημα. Ο εξυπηρετητής DNS ψάχνει στη βάση δεδομένων του για την αντίστοιχη διεύθυνση IP του ιστοτόπου και στέλνει πίσω ένα πακέτο DNS με τη διεύθυνση IP στον υπολογιστή που έκανε το αίτημα.
Το πακέτο DNS είναι δομημένο σε διάφορα τμήματα, με κάθε τμήμα να περιέχει διάφορες πληροφορίες. Όταν ο υπολογιστής λαμβάνει το πακέτο DNS με τη διεύθυνση IP του ιστοτόπου, μπορεί να συνδεθεί στον ιστότοπο. Αυτή η διαδικασία είναι αόρατη για τον χρήστη, αλλά είναι ζωτικής σημασίας για τη λειτουργία του διαδικτύου.
Πηγή: bleepingcomputer
