本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
一个域名系统安全扩展(DNSSEC)功能中名为KeyTrap的严重漏洞,可能会长时间拒绝应用程序的互联网访问。
KeyTrap的编号为CVE-2023-50387,影响着所有流行的域名系统(DNS)实施或服务。它允许远程攻击者通过发送单个DNS数据包,在易受攻击的解析器中长期持续的拒绝服务(DoS)。
DNS允许我们通过输入域名,而不是需要连接服务器的IP地址来访问在线位置。
DNSSEC是DNS的一项功能,可为DNS记录带来加密签名,从而为响应提供身份验证;此验证可确保DNS数据来源。
攻击请求造成了重大损害
KeyTrap已出现在DNSSEC标准中二十多年,由国家应用网络安全研究中心ATHENE的研究人员以及法兰克福歌德大学、Fraunhofer SIT和达姆施塔特工业大学的专家发现。
研究人员解释说,该问题源于DNSSEC要求发送受支持密码的所有相关加密密钥以及进行验证的相应签名。
即使某些DNSSEC密钥配置错误、不正确或属于不受支持的密码,该过程也是相同的。
通过利用此漏洞,研究人员开发了一种新型的基于DNSSEC的算法复杂性攻击,该攻击可以使DNS解析器中的CPU指令数增加200万倍,从而延迟其响应。
这种DoS状态的持续时间取决于解析器的实现,但研究人员表示,单个攻击请求可以使响应时间从56秒到长达16小时不等。
一次请求的KeyTrap攻击中DNS解析器延迟
利用这种攻击会对使用互联网的应用程序造成严重后果,包括网络浏览、电子邮件和即时消息等技术。
研究人员表示:“利用KeyTrap,攻击者可以完全禁用全球互联网的大部分内容。”
自2023年11月初以来,研究人员已经展示了他们的KeyTrap攻击,如何影响DNS服务提供商(例如Google和Cloudflare),并与他们合作开发缓解方法。
DNS实施容易受到KeyTrap的攻击
ATHENE表示,KeyTrap自1999年以来就出现在广泛使用的标准中,近25年来一直没有引起人们的注意,主要是因为DNSSEC验证要求的复杂性。
尽管受影响的供应商已经推出修复程序或正在减轻KeyTrap风险,但从根本上解决该问题可能需要重新评估DNSSEC设计理念。
为了应对KeyTrap威胁,Akamai在2023年12月至2024年2月期间开发并部署了针对DNSi递归解析器的缓解措施,包括CacheServe和AnswerX,以及云和托管解决方案。
这一安全漏洞允许攻击者对互联网的功能进行破坏,使全球三分之一的DNS服务器遭受高效的拒绝服务(DoS)攻击,并影响了超过10亿用户。
Akamai指出,根据APNIC数据,大约35%的美国用户和全球30%的互联网用户依赖使用DNSSEC验证的DNS解析器,极容易受到KeyTrap的攻击。
目前,Google和Cloudflare的DNS服务中已经存在修复程序。
