KeyTrap napad: Jedan DNS paket blokira Internet
Sigurnosni istraživači su otkrili ozbiljnu ranjivost koja je nazvana KeyTrap u funkciji proširenja bezbjednosti sistema imena domena (eng. Domain Name System Security Extensions – DNSSEC) koja bi mogla da se iskoristi za uskraćivanje pristupa Internetu aplikacijama na duži period.
KeyTrap napad: Jedan DNS paket blokira Internet; Source: Bing Image Creator
KEYTRAP NAPAD
DNS (eng. Domain Name System) je jedna je od osnovnih komponenti interneta. Greška u njenom dizajnu ima razorne posljedice za sve DNS implementacije koje potvrđuju DNSSEC i javne DNS pružaoce usluga, kao što su Google i Cloudflare.
Sada su sigurnosni istraživači otkrili KeyTrap napad, koji je nova klasa napada u kojem zlonamjerni akter sa samo jednim DNS paketom mogao da zaustavi sve DNS implementacije u širokoj upotrebi i javne DNS pružaoce usluga. Sigurnosni istraživači su pokazali da sa samo jednim DNS paketom ovaj napad može iscrpiti CPU i zaustaviti sve široko korišćene DNS implementacije i javne DNS pružaoce. Primjera radi, popularna Bind9 DNS implementacija može biti zaustavljena čak 16 sati.
Ovaj razorni efekat podstakao je glavne DNS proizvođače da nazovu KeyTrap kao “Najgori napad na DNS ikada otkriven”. Uticaj KeyTrap napada je dalekosežan, a njegovim iskorištavanjem napadača može efikasno onemogućiti pristup internetu u bilo kom sistemu koji koristi DNS prevođenje koji potvrđuje DNSSEC. Vektori napada koji se koriste u klasi napada KeyTrap registrovani su u bazi podataka o zajedničkim ranjivostima i izloženostima kao zajednička ranjivost sa oznakom CVE-2023-50387.
Iskorištavanje ovog napada imalo bi ozbiljne posljedice za bilo koju aplikaciju koja koristi Internet, uključujući nedostupnost tehnologija kao što su pregledanje interneta, elektronska pošta i instant poruke. Sa KeyTrap napadom, napadač bi mogao potpuno da onesposobi velike dijelove interneta širom sveta.
“Ova bezbjednosna ranjivost je mogla da dozvoli napadačima da izazovu velike poremećaje u funkcionisanju interneta, izlažući jednu trećinu DNS servera širom sveta visoko efikasnom napadu uskraćivanja usluge (DoS) i potencijalno utičući na više od milijardu korisnika.”
– Akamai –
ISTORIJA RANJIVOSTI
Ova ranjivost nije novijeg datuma i prisutni su u zastarelom internet standardu RFC 2535 iz 1999. godine. Ranjivost je 2012. godine ušla u zahteve DNSSEC implementacije za validaciju, standarde RFC 6781 i RFC 6840. Ranjivosti su bile u sajber prostoru najmanje od avgusta 2000. godine u Bind9 DNS prevodiocu i prenesene su u kôd Unbound DNS prevodioca u avgustu 2007. godine.
Iako ranjivosti postoje u standardu oko 25 godina, nije bila ranije primijećena. Ovo nije iznenađenje, jer je zbog složenosti zahteva za DNSSEC validaciju bilo teško identifikovati nedostatke. Iskorištavanje ranjivosti zahteva kombinaciju brojnih zahteva, zbog čega to nije jednostavno čak ni za DNS stručnjake da primijete.
ZAKLJUČAK
DNS je evoluirao u fundamentalni sistem na internetu koji je u osnovi širokog spektra aplikacija i omogućava nove tehnologije. Nedavna mjerenja pokazuju da je u decembru 2023. godine 31,47% internet klijenata širom sveta koristilo DNS prevodioce koji koriste DNSSEC potvrđivanje.
Stoga, KeyTrap napadi utiču ne samo na DNS usluge, već i na sve aplikacije koje ga koriste. Nedostupnost DNS servisa može ne samo da spriječi pristup sadržaju, već rizikuje i onemogućavanje bezbjednosnih mehanizama, poput zaštite od neželjene pošte, infrastrukture javnih ključeva (eng. Public Key Infrastructures – PKI), ili čak bezbjednosti rutiranja među domenima kao što je infrastruktura javnog ključa resursa (eng. Resource Public Key Infrastructure – RPKI).
Nažalost, ranjivosti koje su sigurnosni istraživači identifikovali nije jednostavno riješiti, pošto su suštinski ukorenjene u filozofiji DNSSEC dizajna i nisu samo puke greške u implementaciji softvera. Od prvobitnog otkrivanja ranjivosti, sigurnosni istraživači su radili sa svim glavnim pružocima usluge na ublažavanju problema u njihovoj implementaciji, ali izgleda da potpuno sprečavanje napada zahteva da se suštinski preispita osnovna filozofija DNSSEC dizajna, odnosno da se preispitaju DNSSEC standardi.
