Исследователи безопасности обнаружили серьезную ошибку в системе DNS, которая может «полностью парализовать» большую часть глобального Интернета на длительные периоды времени.
Исследователи кибербезопасности из Национального исследовательского центра прикладной кибербезопасности ATHENE, Университета Гете во Франкфурте, SIT Фраунгофера и Технического университета Дармштадта недавно обнаружили уязвимость в расширении безопасности системы доменных имен (DNSSEC), протоколе безопасности, который добавляет дополнительный уровень защиты система доменных имен (DNS).
Благодаря DNSSEC записи DNS получают цифровую подпись, подтверждающую, что они не были изменены или подделаны при передаче.
Доступные исправления
Уязвимость, отслеживаемая как CVE-2023-50387, получила название KeyTrap и позволяет злоумышленникам проводить длительные атаки типа «отказ в обслуживании» (DoS) против различных интернет-приложений и программ. «Использование этой атаки будет иметь серьезные последствия для любого приложения, использующего Интернет, включая недоступность таких технологий, как просмотр веб-страниц, электронная почта и обмен мгновенными сообщениями», — говорится в сообщении ATHENE. «С помощью KeyTrap злоумышленник может полностью парализовать значительную часть глобального Интернета», — предупреждают исследователи.
Патч уже разработан и будет доступен во время публикации.
Данные Akamai показывают, что почти треть всех интернет-пользователей уязвимы для KeyTrap. ПипКомпьютер сообщил.
Они также пояснили, что уязвимость существовала в DNSSEC более двух десятилетий, но так и не была обнаружена или использована из-за сложности требований проверки DNSSEC. Атаки могут привести к отказу в обслуживании на срок от одной минуты до 16 часов.
В начале ноября 2023 года исследователи представили свои выводы Google и Cloudflare, с которыми с тех пор они работают над мерами по исправлению ситуации. Теперь Akamai уже выпустила исправления для своих рекурсивных преобразователей DNSi, а Google и Cloudflare также развернули свои исправления.
Хотя то, что проблема решена, является хорошей новостью, исследователи подчеркивают, что вся философия проектирования DNSSEC должна быть переоценена, чтобы обезопасить себя от подобных угроз в будущем.
Больше от TechRadar Pro
