این مقاله ابتدا در Dark Reading منتشر شد
اگرچه از سال 2000 در آنجا مستقر شده است، اما محققان اخیراً توانستند یک نقص اساسی در طراحی یک پسوند امنیتی سیستم نام دامنه (DNS) را بررسی کنند، که تحت شرایط خاصی میتواند برای از بین بردن گستره وسیع اینترنت مورد سوء استفاده قرار گیرد.
سرورهای DNS URL های وب سایت را به آدرس های IP ترجمه می کنند و اغلب به صورت نامرئی، تمام ترافیک اینترنت را حمل می کنند.
تیم پشت این کشف از مرکز تحقیقات ملی ATHENE برای امنیت سایبری کاربردی در آلمان است. آنها این آسیبپذیری امنیتی را «KeyTrap» نامیدند که با نام CVE-2023-50387 ردیابی میشود. بر اساس گزارش جدید خود در مورد باگ KeyTrap DNS، محققان دریافتند که یک بسته منفرد ارسال شده به اجرای سرور DNS با استفاده از پسوند DNSSEC برای اعتبارسنجی ترافیک، میتواند سرور را وارد یک حلقه وضوح کند که باعث میشود تمام توان محاسباتی خود را مصرف کند. و غرفه
به گفته تیم دانشگاهیان، اگر چندین سرور DNS همزمان با KeyTrap مورد سوء استفاده قرار میگرفتند، میتوانستند همزمان از کار بیفتند و منجر به قطع گسترده اینترنت شود.
در آزمایش، مدت زمان آفلاین ماندن سرورهای DNS پس از یک حمله متفاوت بود، اما گزارش اشاره کرد که Bind 9، گستردهترین پیادهسازی DNS، میتواند تا 16 ساعت متوقف بماند.
با توجه به کنسرسیوم سیستم های اینترنت (ISC) که بر سرورهای DNS در سراسر جهان نظارت دارد، 34 درصد از سرورهای DNS در آمریکای شمالی از DNSSEC برای احراز هویت استفاده می کنند و بنابراین در برابر این نقص آسیب پذیر هستند.
بر اساس گزارش و ISC، خبر خوب این است که تاکنون هیچ مدرکی مبنی بر اکسپلویت فعال وجود ندارد.
کلاس جدید حملات سایبری DNS
ATHENE اضافه کرد که KeyTrap یک کلاس کاملاً جدید از حملات سایبری را نشان می دهد که تیم آن را “حملات پیچیدگی الگوریتمی” نامید.
تیم تحقیقاتی چندین ماه گذشته را با ارائه دهندگان خدمات DNS اصلی، از جمله Google و Cloudflare، سپری کرد تا قبل از عمومی کردن کار خود، وصلههای لازم را نصب کنند. این تیم خاطرنشان کرد که این وصله ها فقط یک اصلاح موقت هستند و در حال کار برای بازنگری استانداردهای DNSSEC برای بازنگری کامل در طراحی آن هستند.
بر اساس این گزارش، «محققان با همه فروشندگان مرتبط و ارائه دهندگان عمده DNS عمومی طی چندین ماه کار کردند که منجر به ایجاد تعدادی وصله مخصوص فروشنده شد که آخرین آنها در روز سهشنبه، 13 فوریه منتشر شد». “به همه ارائه دهندگان خدمات DNS توصیه می شود که فوراً این وصله ها را برای کاهش این آسیب پذیری حیاتی اعمال کنند.”
فرناندو مونته نگرو، تحلیلگر ارشد Omdia برای امنیت سایبری، محققان را به دلیل افشای این نقص در هماهنگی نزدیک با اکوسیستم فروشنده تحسین می کند.
مونته نگرو می گوید: «با تشکر از محققان. “این با هماهنگی با محققان، ارائه دهندگان خدمات و کسانی که مسئول ایجاد یک پچ هستند فاش شد.”
او اضافه میکند که از اینجا به عهده ارائهدهندگان خدمات است که مسیری را برای رفع دائمی حلکنندههای DNS آسیبدیده پیدا کنند.
مونته نگرو میگوید: «اکنون این مسئولیت به افرادی منتقل میشود که از سرورهای DNS برای دریافت آخرین نسخه و اصلاح آسیبپذیری استفاده میکنند.
ISC به مدیران توصیه نمیکند اعتبار DNSSEC را در سرورهای DNS غیرفعال کنند، حتی اگر مشکل را حل کند. برای کسانی که اجرای DNS منبع باز Bind 9 را اجرا می کنند، ICS یک به روز رسانی دارد.
ICS نتیجهگیری میکند: «ما در عوض اکیداً توصیه میکنیم یکی از نسخههای BIND فهرست شده در زیر را نصب کنید، که در آن اعتبارسنجی DNSSEC بسیار پیچیده دیگر بار کاری سرور دیگر را مختل نخواهد کرد.»