Исследователи безопасности обнаружили серьезную ошибку в системе DNS. Это одна из ключевых систем интернета, и поэтому атака на нее может полностью парализовать большие части всемирного интернета на длительный период времени. Это касается и значительного количества приложений на смартфонах, нуждающихся в доступе в интернет.
Исследователи кибербезопасности из Национального исследовательского центра прикладной кибербезопасности ATHENE, Франкфуртского университета Гете, Фраунгофера SIT и Дармштадтского технического университета недавно нашли недостаток в расширении безопасности системы доменных имен (DNSSEC), протоколе безопасности, который добавляет дополнительный уровень защиты к системе.
С помощью DNSSEC записи DNS получают цифровую подпись, подтверждающую, что они не были изменены или подделаны во время передачи.
Атака, которой присвоили код CVE-2023-50387, получил название KeyTrap. Она позволяет злоумышленникам совершать длительные атаки типа «отказ в обслуживании» (DoS) против различных интернет-приложений и программ.
«Использование этой атаки приведет к серьезным последствиям для любой программы, использующей интернет, включая недоступность таких технологий, как просмотр веб-страниц, электронная почта и обмен мгновенными сообщениями, — говорится в сообщении ATHENE. – С помощью KeyTrap злоумышленник может полностью отключить большие части всемирного интернета».
Цифры Akamai показывают, что почти треть всех пользователей интернета восприимчива к KeyTrap, сообщает BleepingComputer.
Ученые объяснили, что уязвимость существовала в DNSSEC более двух десятилетий, но так и не была обнаружена или использована из-за сложности требований проверки DNSSEC. Атаки могут привести к отказу в обслуживании, которое будет продолжаться от минуты до 16 часов.
В начале ноября 2023 г. исследователи продемонстрировали свои выводы Google и Cloudflare, с которыми с тех пор работают над смягчением этой проблемы.
Сейчас Akamai уже выпустила средства по смягчению для своих рекурсивных резолверов DNSi, а Google и Cloudflare также развернули свои исправления.
Хотя устранение проблемы является хорошей новостью, исследователи подчеркивают, что для того, чтобы уберечься от подобных угроз в будущем, всю философию разработки DNSSEC следует пересмотреть.
