В структуре Domain Name System Security Extensions (DNSSEC), набора расширений протокола DNS, выявлена чрезвычайно опасная уязвимость, получившая название KeyTrap. Разработанный еще в конце 1990-х годов набор расширений DNSSEC призван сделать функционирование доменной инфраструктуры более безопасным, защитив от атак с «отравлением» кэша – подменой ответов на DNS-запросы. Однако и сам DNSSEC оказался весьма уязвим.
Уязвимость KeyTrap основывается на том, что DNSSEC предельно тщательно проверяет все криптографические ключи для валидации подписей. И это дает злоумышленникам возможность создать специально сформулированный запрос, который вынудит DNS-резолвер задействовать все свои вычислительные возможности на проверку гигантского количества ненужных криптографических ключей – например, относящихся к неподдерживаемым шрифтам. В итоге одного-единственного вредоносного запроса достаточно, чтобы полностью вывести из строя DNS-сервер на срок до 16 часов.
Уязвимость KeyTrap была обнаружена исследователями немецкого Национального исследовательского центра прикладной кибербезопасности ATHENE Элиасом Хефтригом, Хаей Шульман, Никласом Фогелем и Михаэлем Вайднером. По их оценкам, DNS-серверы с валидацией DNSSEC используют на сегодняшний день почти треть всех веб-клиентов в мире. И масштабная атака с эксплуатацией этой уязвимости вполне могла бы вывести из строя едва ли не большую часть глобальной сети. При этом уязвимость коренится не в конкретных имплементациях набора расширений DNSSEC, а в самих его технических стандартах. К счастью, за почти 25 лет существования DNSSEC ученые не обнаружили ни одного свидетельства эксплуатации уязвимости KeyTrap, сообщает ресурс Domain Incite.
Уязвимость была выявлена еще в конце прошлого года, однако информация о ней была опубликована только на прошлой неделе. Все это время разработчики ПО для DNS-серверов при содействии специалистов ATHENE работали над созданием исправлений, устраняющих возможность атаки. К настоящему времени об исправлении уязвимости в своих системах уже объявили ведущие компании, включая Microsoft, Google, Bind, Cloudflare и Akamai. При этом разработчики ПО назвали KeyTrap самой разрушительной уязвимостью, когда-либо обнаруженной в DNSSEC.
