Anahtar Tuzağı olarak adlandırılan saygın Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC) spesifikasyonundaki bir protokol hatası, dünya çapındaki DNS çözümleyicilerini hizmet reddi saldırılarına maruz bırakır.
CVE-2023-50387’nin CVSS puanı yalnızca 7,5 olmasına rağmen kullanım kolaylığı, yama uygulanmasını acil bir konu haline getiriyor.
Almanya’nın ATHENE siber güvenlik araştırma merkezinden bir araştırmacı ekibi, Algoritmik Karmaşıklık Saldırıları adını verdikleri bir saldırı sınıfını icat ettikten sonra DNSSEC protokolünde Anahtar Tuzağı hatasını buldu.
Araştırmacılar, “Sadece tek bir DNS paketiyle saldırının CPU’yu tüketebileceğini ve yaygın olarak kullanılan tüm DNS uygulamalarını ve Google Public DNS ve Cloudflare gibi genel DNS sağlayıcılarını durdurabileceğini gösterdiler” diye yazdı.
“Aslında popüler Bind9 DNS uygulaması 16 saate kadar durdurulabilir.”
Araştırmacılar, web istemcilerinin yüzde 31’inden fazlasının DNSSEC doğrulama çözümleyicileri kullandığını, dolayısıyla saldırıların yalnızca DNS’yi değil aynı zamanda onu kullanan tüm uygulamaları da etkilediğini söylüyor.
“DNS’in kullanılamaması yalnızca içeriğe erişimi engellemekle kalmaz, aynı zamanda istenmeyen posta önleme savunmaları, Genel Anahtar Altyapıları (PKI) ve hatta RPKI (Kaynak Genel Anahtar Altyapısı) gibi alanlar arası yönlendirme güvenliği gibi güvenlik mekanizmalarını da devre dışı bırakma riski taşır.”
Araştırmacılar KeyTrap hakkında teknik detay vermedi ancak protokol hatasının uzun süredir mevcut olduğunu söylüyorlar.
Hata, güncel RFC 6781 ve RFC 6840 spesifikasyonları tarafından eski RFC 2535’ten devralınmıştır.
ATHENE araştırmacıları, hatanın en az Ağustos 2000’den bu yana fiili standart Bind9 DNS çözümleyicisinde ve Ağustos 2007’den bu yana Sınırsız DNS çözümleyicisinde mevcut olduğunu söylüyor.
Bind9’un bakımını yapan İnternet Sistemleri Konsorsiyumu, Unbound’un bakımını yapan NLNetLabs gibi bir yama yayınladı.
Microsoft, hatayı Salı Yaması’nın bir parçası olarak 2012 yılına kadar uzanan Windows Server sürümlerinde yamaladı.
Linux dağıtımları, DNSSEC özellikli sunucularındaki hatayı devralır ve yukarı akış yamaları kullanıma sunuldukça eklenecektir.
Araştırmacılar, Key Trap’in Google Public DNS ve Cloudflare gibi genel çözümleyicileri de etkilediğini söyledi.
ATHENE ekibi, saldırıları azaltmak için tüm büyük sağlayıcılarla birlikte çalıştığını söylese de, tam bir düzeltme için DNSSEC protokolünün yeniden tasarlanmasını gerektirecek.