黑帽会议的与会者听取了KeyTrap DNSSEC漏洞的分析报告,该漏洞可能会广泛影响浏览、电子邮件、TLS和其他关键web服务。
黑帽欧洲会议(Black Hat Europe)上的一份报告称,互联网查找协议DNSSEC存在一个严重漏洞,有可能使许多人无法访问大部分网络。
DNSSEC(域名系统安全扩展)提供了一种加密验证DNS响应和验证数据完整性的方法,可以缓解各种类型的网络攻击,包括DNS欺骗和缓存中毒。该技术于2010年首次在根级应用,推出缓慢,但目前已部署到互联网上约三分之一的系统中。
在周三的黑帽大会上,来自德国国家应用网络安全研究中心(ATHENE)的研究人员解释了KeyTrap (CVE-2023-50387)漏洞如何为运行dnssec验证的DNS服务的机器造成资源耗尽的情况。
KeyTrap攻击利用算法的复杂性,例如,在验证针对DNSSEC密钥的签名时,占用资源并阻止解析器处理有效请求。
单个100字节的DNS请求可能导致解析器停止响应2分钟到16小时,具体时间取决于实现。由于该漏洞利用了DNSSEC标准中支持密钥翻转和算法翻转等功能的特性,因此所有实现都是易受攻击的。
研究人员Elias Heftrig和Niklas Vogel是ATHENE四人小组的成员,他们在黑帽会议上解释了问题的根源,以及如何通过长达一个月的保密披露过程解决问题。他们与ISC (BIND)、谷歌、Cloudflare和Akamai等供应商和运营商合作,开发了缓解措施和补丁,并于2024年2月推出。
要解决这个漏洞,需要创建“故意违反RFC要求”的稳定和安全的软件。这些补丁通过限制解析器执行的验证次数而起作用。
没有发生过基于该漏洞的攻击——这也很好,因为如果发生了,它将有效地禁用任何dnssec验证解析器,影响依赖DNS的各种服务,包括web浏览、电子邮件和TLS。研究人员认为,互联网有效地“躲过了一劫”。
尽管过程艰难,Heftrig告诉CSO,他仍然相信DNSSEC优于传统技术,并且在开发方面比潜在的替代技术更先进。
