У світі кібербезпеки знову повідомляють про важливу проблему, що загрожує безпеці інтернету. Фахівці з Німеччини, представники Національного дослідницького центру з прикладної кібербезпеки ATHENE, виявили небезпечну вразливість в протоколі DNSSEC.
Ця нова загроза отримала назву KeyTrap і отримала ідентифікатор CVE-2023-50387. Вчені надають їй оцінку 7,5 бала з 10 за ступенем небезпеки. Вразливість направлена на резолвер DNS і може призвести до проведення DoS-атаки.
Механізм DNSSEC, призначений для забезпечення цілісності даних у DNS, тепер сам став об’єктом атаки. В основі DNSSEC лежать цифрові підписи, але виявлена уразливість дозволяє провести атаку, що змушує резолвер виконувати великий обсяг криптографічних обчислень.
За оцінками дослідників, ця проблема стосується близько 31% веб-клієнтів у інтернеті, оскільки DNS-резолвери з розширеннями DNSSEC досить поширені. Серед потенційних постраждалих – такі великі сервіси, як Google Public DNS, Quad9, OpenDNS і Cloudflare.
Вразливість вже усунута у важливих DNS-резолверах, таких як Unbound, PowerDNS Recursor, Knot Resolver, dnsmasq і BIND. Це означає, що після встановлення оновлень користувачі отримають більшу безпеку під час користування інтернетом.
Не менш цікаво, що деякі з цих проблем існували протягом десятиліть без помітного виявлення.