Дослідники безпеки виявили серйозну помилку в системі DNS,. Це одна з ключових систем інтернету і тому атака на неї може повністю паралізувати великі частини всесвітнього інтернету на тривалий період часу. Це стосується і значної кількості додатків на смартфонах, які потребують доступу в інтернет.
Дослідники кібербезпеки з Національного дослідницького центру прикладної кібербезпеки ATHENE, Франкфуртського університету Гете, Фраунгофера SIT і Дармштадтського технічного університету нещодавно знайшли недолік у розширенні безпеки системи доменних імен (DNSSEC), протоколі безпеки, який додає додатковий рівень захисту до системи доменних імен (DNS).
За допомогою DNSSEC записи DNS отримують цифровий підпис, який підтверджує, що вони не були змінені або підроблені під час передачі.
Атака, якій присвоїли код CVE-2023-50387, отримала назву KeyTrap. Вона дозволяє зловмисникам здійснювати тривалі атаки типу «відмова в обслуговуванні» (DoS ) проти різних інтернет-додатків і програм.
«Використання цієї атаки призведе до серйозних наслідків для будь-якої програми, що використовує інтернет, включаючи недоступність таких технологій, як перегляд веб-сторінок, електронна пошта та обмін миттєвими повідомленнями, — йдеться в повідомленні ATHENE. – За допомогою KeyTrap зловмисник може повністю відключити великі частини всесвітнього інтернету».
Цифри Akamai показують, що майже третина всіх користувачів інтернету сприйнятлива до KeyTrap, повідомляє BleepingComputer .
Науковці пояснили, що вразливість існувала в DNSSEC більше двох десятиліть, але так і не була виявлена або використана через складність вимог перевірки DNSSEC. Атаки можуть призвести до відмови в обслуговуванні, яка триватиме від хвилини до 16 годин.
На початку листопада 2023 року дослідники продемонстрували свої висновки Google і Cloudflare, з якими відтоді працюють над пом’якшенням цієї проблеми.
Зараз Akamai вже випустила засоби пом’якшення для своїх рекурсивних резолверів DNSi, а Google і Cloudflare також розгорнули свої виправлення.
Хоча усунення проблеми є гарною новиною, дослідники підкреслюють, що для того, щоб уберегтися від подібних загроз у майбутньому, усю філософію розробки DNSSEC слід переглянути.
