Исследователи безопасности обнаружили серьезную ошибку в системе DNS, которая может «полностью отключить» большую часть глобального Интернета на длительные периоды времени.
Исследователи кибербезопасности из Национального исследовательского центра прикладной кибербезопасности АФИН, Франкфуртского университета имени Гете, Фраунгофера SIT и Технического университета Дармштадта недавно обнаружили уязвимость в расширении безопасности системы доменных имен (DNSSEC), протоколе безопасности, который добавляет дополнительный уровень защиты Система доменных имен (DNS).
Благодаря DNSSEC записи DNS получают цифровую подпись, подтверждающую, что они не были изменены или подделаны при передаче. Доступные решения
Уязвимость, отслеживаемая как CVE-2023-50387, получила название KeyTrap и позволяет злоумышленникам проводить устойчивые атаки типа «отказ в обслуживании» (DoS) против различных интернет-приложений и программ. «Использование этой атаки будет иметь серьезные последствия для любого приложения, использующего Интернет, включая недоступность таких технологий, как просмотр веб-страниц, электронная почта и обмен мгновенными сообщениями», — говорится в сообщении ATHENE. «KeyTrap может позволить злоумышленнику полностью отключить большую часть глобального Интернета», — предупреждают исследователи. Патч уже разработан и развертывается на момент написания статьи.
По данным Akamai, почти треть всех интернет-пользователей чувствительны к KeyTrap, сообщает BleepingComputer.
Уязвимость, как они далее пояснили, присутствовала в DNSSEC более двух десятилетий, но так и не была обнаружена или использована из-за сложности требований проверки DNSSEC. Атаки могут привести к отказу в обслуживании, который продлится от минуты до 16 часов.
В начале ноября 2023 года исследователи продемонстрировали свои результаты Google и Cloudflare, с которыми они с тех пор работают над решениями. Теперь Akamai уже выпустила исправления для своих рекурсивных преобразователей DNSi, а Google и Cloudflare также развернули свои исправления.
Хотя то, что проблема решена, является хорошей новостью, исследователи подчеркивают, что для защиты от подобных угроз в будущем необходимо пересмотреть всю философию проектирования DNSSEC. Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
