域名系统安全扩展 (DNSSEC) 功能中存在一个称为 Keytrap 的严重漏洞,可被利用该漏洞在很长一段时间内拒绝应用程序的 Internet 访问。
Keytrap 编号为 CVE-2023-50387,是 DNSSEC 中的一个设计问题,会影响所有常用的域名系统 (DNS) 实现或服务。
它允许远程攻击者通过发送单个 DNS 数据包,在易受攻击的解析程序中创建长期持续拒绝服务 (DoS) 条件。
DNS允许我们人类通过输入域名而不是计算机需要连接的服务器的IP地址来访问位置。
DNSSEC 是 DNS 的一项功能,它将加密签名引入 DNS 记录,为响应提供身份验证; 此验证可确保 DNS 数据来自源,即其权威名称服务器,并且在将您路由到恶意位置的过程中不会被修改。
Keytrap 在 DNSSEC 标准中已经存在了二十多年,是由国家应用网络安全研究中心 Athene 的研究人员以及法兰克福歌德大学、弗劳恩霍夫集和达姆施塔特大学的专家发现的。
研究人员解释说,这个问题源于DNSSEC要求发送所有相关加密密钥,以及相应的签名进行验证。
即使某些 DNSSEC 密钥配置错误、不正确或属于不受支持的密码,该过程也是相同的。
通过利用此漏洞,研究人员开发了一种基于 DNSSEC 的新型算法复杂性攻击,该攻击可能会将 DNS 解析器中的 CPU 指令数量增加 200 万倍,从而延迟其响应。
这种DOS状态的持续时间取决于解析器的实现,但研究人员表示,单个攻击请求可以使响应时间从56秒到16小时不等。
利用这种攻击将对任何使用互联网的应用程序产生严重后果,包括网页浏览、电子邮件和即时消息等技术的不可用,“雅典娜的披露中写道。
“使用Keytrap,攻击者可以完全禁用全球大部分互联网,”研究人员说。 ”
有关该漏洞及其在现代 DNS 实现中的表现方式的完整详细信息,请参阅本周早些时候发布的技术报告。
自 2023 年 11 月初以来,研究人员已经展示了他们的 Keytrap 攻击如何影响 Google 和 Cloudflare 等 DNS 服务提供商,并正在与他们合作制定缓解措施。
Athene说,KeyTrap自1999年以来一直被广泛使用,因此在近25年的时间里一直被忽视,这主要是因为DNSSEC验证要求的复杂性。
虽然受影响的供应商已经推出了修复程序或正在降低 Keytrap 风险,但 Athene 表示,解决问题的根本原因可能需要重新评估 DNSSEC 的设计理念。
为了应对 Keytrap 威胁,Akamai 在 2023 年 12 月至 2024 年 2 月期间开发并部署了针对 DNSI 递归解析器(包括 CacheServe 和 AnswerX)以及云和托管解决方案的缓解措施。
这种安全漏洞可能允许攻击者对互联网功能造成严重破坏,使全球三分之一的 DNS 服务器面临高效的拒绝服务 (DoS) 攻击,并可能影响超过 10 亿用户。 - 阿卡迈。
据Akamai称,美国约35%的用户和全球约30%的互联网用户依赖使用DNSSEC身份验证的DNS解析器,因此容易受到Keytrap攻击。
尽管这家互联网公司没有透露有关其实施的实际缓解措施的更多细节,但 Athene 的 ** 将 Akamai 的解决方案描述为将加密故障限制在最多 32 次,因此几乎不可能耗尽 CPU 资源并导致停顿。
Google 和 Cloudflare 的 DNS 服务中已经存在修复程序。