-
ПАРТНЁРАМ
Партнерская программа хостинга newПартнерство по доменам
В протоколе безопасности DNSSEC найдена уязвимость, которая может нарушить работу DNS-серверов (в частности, такого ПО как BIND), а также сервисов Cloudflare и Google Public DNS.
Уязвимость, названная KeyTrap, позволяет перегрузить процессор DNS-сервера на срок до 16 часов, и таким образом заблокировать доступ к интернет-ресурсам всех пользователей данного DNS-сервера. И делается это всего лишь одним пакетом данных.
Уязвимость KeyTrap теоретически могла использоваться ещё в 90-е годы, но до последнего времени случаи её использования не фиксировались. Она возникла из-за особенности алгоритма работы протокола безопасности DNSSEC. Дело в том, что DNSSEC настроен так, чтобы возможные сбои не приводили к потере доступа к сайтам. В случае ошибки DNSSEC начинает слишком активно проверять криптографические подписи, обращаясь ко всем доступным криптографическим ключам. Используя эту активность, хакер может спровоцировать перегрузку и зависание процессора DNS-сервера, который пытается проверить огромное количество ключей.
Таким образом достигается эффект DDoS-атаки, но злоумышленнику при этом не нужно самому создавать нагрузку на сервер.
Уязвимость KeyTrap обнаружили специалисты из ATHENE - немецкого центра исследований кибербезопасности. Сама она была обнаружена ещё в прошлом году, но информация была выложена в открытый доступ только сейчас - когда уязвимость была исправлена.
Сбои в работе DNSSEC могут "уронить" и целую доменную зону, в чём в конце января убедились и российские пользователи. Протокол безопасности всё ещё далёк от идеала, но, самое главное, работы по его улучшению идут успешно.
20/02/2024
