一群代表數家德國大學和學院的研究人員,在DNSSEC上發現一個安全漏洞,他們稱攻擊為KeyTrap,利用安全漏洞只需發送一個惡意封包,就能關閉DNS伺服器。
KeyTrap的運作和危險性
DNSSEC安全漏洞直至最新才被公眾知道其存在,其實早在2023年12月已被發現,並登記為CVE-2023-50387,CVSS 3.1評分為7.5,屬於高危險級別,安全漏洞的完整資料和攻擊相關的資訊並未完全披露。至於KeyTrap的運作方法,攻擊者首先設定一個名稱伺服器來回應來自快取DNS伺服器的請求,利用惡意封包直接服務客端請求,這樣惡意名稱侵服器便有快取伺服器的DNS請求記錄,而回應則是經過加密簽署的惡意記錄,簽署的製作方式會引致被攻擊的DNS伺服器,由於嘗試驗證結果會讓CPU全力地運算一段長時間。
根據研究人員表示,單獨一個惡意封包可以令位於任何地方的DNS伺服器暫停活動170秒至16小時,控運行的軟件而異,KeyTrap不單止使目標DNS伺服器的網上內容無法存取,還會破壞各種基礎設施服務,例如垃圾郵件防護、數碼證書管理(PKI)和安全跨網域路由(RPKI)。研究人員稱KeyTrap為有史以來最惡劣的DNS攻擊,而且找到安全漏洞的最舊DNSSEC版本早於1999年推出,即是安全漏洞已經25歲。
抵擋KeyTrap
研究人員向所有DNS伺服器軟件開發商和主要公眾DNS供應商發出警告,應該盡快更新以堵塞CVE-2023-50387,不過要謹記DNSSEC邏輯事故令KeyTrap可行,是其本素的基本所以不容易修復,DNS軟件開發商推出的補丁只能解決部份問題,並揚言如果推出對付補丁版的KeyTrap,同樣能造成100% CPU使用率的效果。對於公司的網絡管理員言,事先準備好DNS伺服器備份清單可能較為實際。
資料來源:Kaspersky Blog
