Alan adı Sistem Güvenlik Uzantıları (DNSSEC) özelliğinde KeyTrap adlı ciddi bir güvenlik açığı, uzun bir süre için uygulamalara internet erişimini reddetmek için kullanılabilir.
CVE-2023-50387 olarak izlenen KeyTrap, DNSSEC'de bir tasarım sorunudur ve tüm Popüler Etki Alanı Adı Sistemi (DNS) uygulamalarını veya hizmetlerini etkiler.
Uzak bir saldırganın, tek bir DNS paketi göndererek savunmasız çözümleyicilerde uzun ömürlü bir hizmet reddi (DOS) durumuna neden olmasını sağlar.
DNS, bilgisayarımızın bağlanması gereken sunucunun IP adresi yerine alan adları yazarak çevrimiçi konumlara erişmemize izin veren şeydir.
DNSSEC, DNS kayıtlarına kriptografik imzalar getiren ve böylece yanıtlara kimlik doğrulama sağlayan DNS'nin bir özelliğidir; Bu doğrulama, DNS verilerinin kaynaktan, yetkili ad sunucusundan gelmesini ve sizi kötü amaçlı bir konuma yönlendirme yolunda değiştirilmemesini sağlar.
Keytrap, yirmi yılı aşkın bir süredir DNSSEC Standardında mevcuttu ve Goethe Üniversitesi Frankfurt, Fraunhofer SIT ve Darmstadt Teknik Üniversitesi'nden uzmanların yanı sıra Uygulamalı Siber Güvenlik Ulusal Araştırma Merkezi'nden araştırmacılar tarafından keşfedildi.
Araştırmacılar, sorunun DNSSEC'in desteklenen şifreler için ilgili tüm kriptografik anahtarları gönderme gereksiniminden ve doğrulamanın gerçekleşmesi için ilgili imzalardan kaynaklandığını açıklıyor.
Bazı DNSSEC anahtarları yanlış yapılandırılmış, yanlış veya desteklenmeyen şifrelere ait olsa bile işlem aynıdır.
Bu güvenlik açığından yararlanarak, araştırmacılar, bir DNS çözücüde CPU talimat sayısının 2 milyon katı artabilen ve böylece yanıtını geciktirebilen yeni bir DNSSEC tabanlı algoritmik karmaşıklık saldırıları sınıfı geliştirdiler.
Bu DOS eyaletinin süresi çözümleyici uygulamasına bağlıdır, ancak araştırmacılar tek bir saldırı talebinin yanıtı 56 saniyeden 16 saate kadar tutabileceğini söylüyor.
Athene'nin açıklamasını okuduğu, "Bu saldırının sömürülmesi, web tarama, e-posta ve anlık mesajlaşma gibi teknolojilerin kullanılamaması da dahil olmak üzere İnternet kullanan herhangi bir uygulama için ciddi sonuçlar doğurur."
Araştırmacılar, "KeyTrap ile bir saldırgan dünya çapındaki internetin büyük bölümlerini tamamen devre dışı bırakabilir." Diyor.
Güvenlik açığı ve modern DNS uygulamalarında nasıl tezahür edebileceği hakkında tüm ayrıntılar bu haftanın başlarında yayınlanan bir teknik raporda bulunabilir.
Araştırmacılar, KeyTrap saldırılarının Kasım 2023'ün başından beri Google ve Cloudflare gibi DNS servis sağlayıcılarını nasıl etkileyebileceğini ve hafifletmeler geliştirmek için onlarla birlikte çalışabileceğini gösterdiler.
Athene, Keytrap'ın 1999'dan beri yaygın olarak kullanılan standartlarda bulunduğunu, bu nedenle öncelikle DNSSEC doğrulama gereksinimlerinin karmaşıklığı nedeniyle yaklaşık 25 yıldır fark edilmediğini söylüyor.
Etkilenen satıcılar zaten düzeltmeleri zorlamış olsa da, anahtarlama riskini azaltma sürecinde olmalarına rağmen, Athene, konuyu temel düzeyde ele almanın DNSSEC tasarım felsefesinin yeniden değerlendirilmesini gerektirebileceğini belirtiyor.
Keytrap tehdidine yanıt olarak Akamai, Aralık 2023 ve Şubat 2024 yılları arasında Cacheserve ve Yanıt dahil DNSI özyinelemeli çözümleyicilerinin yanı sıra bulut ve yönetilen çözümleri için hafifletmeler geliştirdi ve konuşlandırıldı.
Bu güvenlik açığı, saldırganların internetin işleyişinde büyük bir bozulmaya neden olmasına izin verebilir ve dünya çapında DNS sunucularının üçte birini yüksek verimli bir hizmet reddi (DOS) saldırısına maruz bırakabilir ve potansiyel olarak bir milyardan fazla kullanıcıyı etkiledi. - Akamai
Akamai, APNIC verilerine dayanarak, ABD merkezli yaklaşık% 35'inin ve dünya çapında internet kullanıcılarının% 30'unun DNSSEC doğrulaması kullanan DNS çözücülerine güvendiğini ve bu nedenle Keytrap'a karşı savunmasız olduğunu belirtiyor.
İnternet şirketi, uyguladığı gerçek hafifletmeler hakkında pek çok ayrıntıyı paylaşmasa da, Athene'nin makalesi Akamai'nin çözümünü şifreleme başarısızlıklarını en fazla 32 ile sınırlandırarak CPU kaynaklarını tüketmeyi ve durmaya neden olmasını neredeyse imkansız hale getiriyor.
Google ve Cloudflare'den DNS hizmetlerinde düzeltmeler zaten mevcuttur.
ExpressVPN Bug yıllardır bazı DNS isteklerini sızdırıyor
178K'dan fazla Sonicwall güvenlik duvarları DOS'a karşı savunmasız, potansiyel RCE saldırıları
Kritik Sonicwall Güvenlik Duvarı Yaması Tüm cihazlar için yayınlanmadı
‘Flippers'ın Duvarı’ Flipper Sıfır Bluetooth spam saldırılarını tespit eder
Kaynak: Bleeping Computer