深入了解 KeyTrap DNSSEC 漏洞对网络安全的影响
关键要点
KeyTrap 漏洞CVE202350387严重威胁了 DNSSEC 协议的安全性,可能导致大多数互联网服务被干扰。漏洞利用了算法复杂性,造成资源耗尽,影响 DNS 查询的响应。研究团队通过保密披露渠道与多家公司合作,最终在2024年2月推出修复补丁。事件虽然未造成实际攻击,但显示出 DNSSEC 仍需进一步强化。在 Black Hat Europe 大会上,有关 KeyTrap DNSSEC 漏洞的后续报告揭示了该漏洞可能对浏览、电子邮件、TLS 和其他重要网络服务造成的广泛影响。
轻蜂加速器试用图片来源 DC Studio shutterstockcom
DNSSEC域名系统安全扩展通过提供加密的 DNS 响应认证和数据完整性验证,减轻了包括 DNS 欺骗和缓存中毒等各种类型的网络攻击。该技术于 2010 年在根级别首次应用,尽管推广缓慢,但目前已有约三分之一的互联网系统部署了该技术。
在周三的 Black Hat 演讲中,德国应用网络安全国家研究中心ATHENE的研究人员解释了 KeyTrap 漏洞如何为运行 DNSSEC 验证的 DNS 服务的机器创造了资源耗尽的条件。
KeyTrap 攻击利用了算法的复杂性,例如在验证 DNSSEC 密钥的签名时,使资源耗尽,阻止解析器处理有效请求。
单个 100 字节的 DNS 请求可能导致解析器的响应停止,时间从两分钟到 16 小时不等,具体取决于实现方式。由于该漏洞利用了 DNSSEC 标准中为支持密钥和算法更新而设计的特性,所有实现均存在漏洞。
ATHENE 团队的成员 Elias Heftrig 和 Niklas Vogel 在 Black Hat 上的讲话中解释了问题的根源及其如何通过为期一个月的保密披露过程来解决。他们与多家供应商和运营商合作,包括 ISCBIND、Google、Cloudflare 和 Akamai,共同开发了补救措施和修复补丁,这些补丁于2024年2月推出。
解决该漏洞的过程涉及创建稳定和安全的软件,故意不遵守 RFC 要求。补丁通过限制解析器执行的验证次数来发挥作用。
尽管基于该漏洞的攻击并未发生 这非常幸运,因为如果发生了,将有效地禁用任何 DNSSEC 验证的解析器,从而影响依赖 DNS 的各种服务,包括网页浏览、电子邮件和 TLS。研究人员指出,互联网有效地“躲过了一颗子弹”。
尽管这一过程艰难,Heftrig 告诉 CSO,他仍然对 DNSSEC 的信心高于传统技术,并且在其发展上比潜在替代品更为先进。
