باگ DNS 'KeyTrap' قطع گسترده اینترنت را تهدید می کند | دانش مرکز داده

این مقاله ابتدا در Dark Reading منتشر شد

اگرچه از سال 2000 در آنجا مستقر شده است، اما محققان اخیراً توانستند یک نقص اساسی در طراحی یک پسوند امنیتی سیستم نام دامنه (DNS) را بررسی کنند، که تحت شرایط خاصی می‌تواند برای از بین بردن گستره وسیع اینترنت مورد سوء استفاده قرار گیرد.

سرورهای DNS URL های وب سایت را به آدرس های IP ترجمه می کنند و اغلب به صورت نامرئی، تمام ترافیک اینترنت را حمل می کنند.

تیم پشت این کشف از مرکز تحقیقات ملی ATHENE برای امنیت سایبری کاربردی در آلمان است. آنها این آسیب‌پذیری امنیتی را «KeyTrap» نامیدند که با نام CVE-2023-50387 ردیابی می‌شود. بر اساس گزارش جدید خود در مورد باگ KeyTrap DNS، محققان دریافتند که یک بسته منفرد ارسال شده به اجرای سرور DNS با استفاده از پسوند DNSSEC برای اعتبارسنجی ترافیک، می‌تواند سرور را وارد یک حلقه وضوح کند که باعث می‌شود تمام توان محاسباتی خود را مصرف کند. و غرفه

به گفته تیم دانشگاهیان، اگر چندین سرور DNS همزمان با KeyTrap مورد سوء استفاده قرار می‌گرفتند، می‌توانستند همزمان از کار بیفتند و منجر به قطع گسترده اینترنت شود.

در آزمایش، مدت زمان آفلاین ماندن سرورهای DNS پس از یک حمله متفاوت بود، اما گزارش اشاره کرد که Bind 9، گسترده‌ترین پیاده‌سازی DNS، می‌تواند تا 16 ساعت متوقف بماند.

با توجه به کنسرسیوم سیستم های اینترنت (ISC) که بر سرورهای DNS در سراسر جهان نظارت دارد، 34 درصد از سرورهای DNS در آمریکای شمالی از DNSSEC برای احراز هویت استفاده می کنند و بنابراین در برابر این نقص آسیب پذیر هستند.

بر اساس گزارش و ISC، خبر خوب این است که تاکنون هیچ مدرکی مبنی بر اکسپلویت فعال وجود ندارد.

کلاس جدید حملات سایبری DNS

ATHENE اضافه کرد که KeyTrap یک کلاس کاملاً جدید از حملات سایبری را نشان می دهد که تیم آن را “حملات پیچیدگی الگوریتمی” نامید.

تیم تحقیقاتی چندین ماه گذشته را با ارائه دهندگان خدمات DNS اصلی، از جمله Google و Cloudflare، سپری کرد تا قبل از عمومی کردن کار خود، وصله‌های لازم را نصب کنند. این تیم خاطرنشان کرد که این وصله ها فقط یک اصلاح موقت هستند و در حال کار برای بازنگری استانداردهای DNSSEC برای بازنگری کامل در طراحی آن هستند.

بر اساس این گزارش، «محققان با همه فروشندگان مرتبط و ارائه دهندگان عمده DNS عمومی طی چندین ماه کار کردند که منجر به ایجاد تعدادی وصله مخصوص فروشنده شد که آخرین آنها در روز سه‌شنبه، 13 فوریه منتشر شد». “به همه ارائه دهندگان خدمات DNS توصیه می شود که فوراً این وصله ها را برای کاهش این آسیب پذیری حیاتی اعمال کنند.”

فرناندو مونته نگرو، تحلیلگر ارشد Omdia برای امنیت سایبری، محققان را به دلیل افشای این نقص در هماهنگی نزدیک با اکوسیستم فروشنده تحسین می کند.

مونته نگرو می گوید: «با تشکر از محققان. “این با هماهنگی با محققان، ارائه دهندگان خدمات و کسانی که مسئول ایجاد یک پچ هستند فاش شد.”

او اضافه می‌کند که از اینجا به عهده ارائه‌دهندگان خدمات است که مسیری را برای رفع دائمی حل‌کننده‌های DNS آسیب‌دیده پیدا کنند.

مونته نگرو می‌گوید: «اکنون این مسئولیت به افرادی منتقل می‌شود که از سرورهای DNS برای دریافت آخرین نسخه و اصلاح آسیب‌پذیری استفاده می‌کنند.

ISC به مدیران توصیه نمی‌کند اعتبار DNSSEC را در سرورهای DNS غیرفعال کنند، حتی اگر مشکل را حل کند. برای کسانی که اجرای DNS منبع باز Bind 9 را اجرا می کنند، ICS یک به روز رسانی دارد.

ICS نتیجه‌گیری می‌کند: «ما در عوض اکیداً توصیه می‌کنیم یکی از نسخه‌های BIND فهرست شده در زیر را نصب کنید، که در آن اعتبارسنجی DNSSEC بسیار پیچیده دیگر بار کاری سرور دیگر را مختل نخواهد کرد.»