近日,网络安全研究人员发现了一个可导致全球互联网瘫痪的名为KeyTrap的严重漏洞。该漏洞隐藏在域名系统安全扩展(DNSSEC)功能中,可被攻击者利用发动DoS攻击,长时间阻断应用程序访问互联网。
KeyTrap漏洞分配的CVE编号为CVE-2023-50387,属于DNSSEC设计缺陷,影响几乎所有主流域名系统(DNS)实现或服务。攻击者仅需发送一个恶意DNS数据包,便能使易受攻击的解析器陷入长期拒绝服务(DoS)状态。
DNSSEC,全称为Domain Name System Security Extensions,即域名系统安全扩展,是一种由IETF(Internet工程任务组)提供的技术,旨在增强DNS(域名系统)的安全性。
DNSSEC通过使用公钥加密技术和数字签名来确保DNS查询和响应的安全。这些数字签名可以验证DNS记录的真实性和完整性,防止在传输过程中被篡改或伪造。当DNS解析器接收到一个带有数字签名的DNS响应时,它可以验证该签名的有效性,确认响应的真实性和完整性,从而极大增强DNS的安全性。
根据研究发现,KeyTrap漏洞源于DNSSEC需要发送所支持密文的所有相关加密密钥以及验证签名。即使某些DNSSEC密钥配置错误、不正确或属于不受支持的密文,也会执行相同的流程。
利用该漏洞,攻击者基于DNSSEC算法的复杂性开发了一种新的DoS攻击方式,可以将DNS解析器中的CPU指令计数增加200万倍,从而延迟其响应,部分解析器的延迟响应最长可达16小时之久。
这种攻击后果是毁灭性的,它能够中断包括网站、电子邮件、即时通信等在内任何网络应用的访问。据估计,全球约有30%的互联网用户依赖使用DNSSEC验证的DNS解析器,并可能受到该漏洞的影响。
国科云专家表示,该漏洞自1999年以来就存在于广泛使用的标准中,但由于DNSSEC验证的复杂性,使得人们在近25年来一直没有发现这个严重问题。
作为对KeyTrap威胁的回应,Akamai在2023年12月至2024年2月期间开发并部署了针对其DNSi递归解析器(包括CacheServe和AnswerX)以及其云和托管解决方案的缓解措施。
尽管Akamai没有披露太多细节,但根据ATHENE的论文,Akamai的解决方案是将加密失败限制在最多32个,基本上可以防止攻击者通过耗尽CPU资源来延迟或瘫痪网络。此外,谷歌和Cloudflare也已经着手修复其DNS服务。
作为中国科学院控股有限公司旗下域名安全服务商,国科云深耕域名相关领域二十余年,为众多省部级国家机关、金融、央国企、科研等重点领域头部客户提供域名管理及解析相关产品和服务,为各行业的域名和解析安全提供了有力的技术支撑与保障。
针对此次DNSSEC漏洞问题,国科云专家表示,国科云用于实施和存放DNS安全扩展协议的服务和密钥在单独的DNS节点服务器,与其他DNS节点服务器保持隔离。由于DNS安全漏洞造成的负面影响仅会影响实施DNSSEC的少数区,不会对权威解析基础服务造成影响。此外,国科云也会通过升级BIND安全更新包及DNS流量清洗设备等措施,对该漏洞造成的不良影响进行防范。
相关推荐:
研究表明福布斯2000强公司中有3/4没有采用有力的域名安全
武汉地震监测中心遭受美国网络攻击,为我国网络安全工作敲响警钟
南昌高校数据泄露被罚款80万,应采取哪些措施应对数据安全问题