Her ne kadar 2000 yılından beri orada olsa da, araştırmacılar kısa süre önce Alan Adı Sistemi (DNS) güvenlik uzantısındaki temel bir tasarım kusurunu ortaya çıkarmayı başardılar; bu kusur belirli koşullar altında İnternet’in geniş alanlarını kapatmak için kullanılabilir.
DNS sunucuları web sitesi URL’lerini IP adreslerine çevirir ve çoğunlukla görünmez bir şekilde tüm İnternet trafiğini taşır.
Keşfin arkasındaki ekip, Almanya’daki ATHENE Ulusal Uygulamalı Siber Güvenlik Araştırma Merkezi’nden. Takip edilen güvenlik açığına “KeyTrap” adını verdiler. CVE-2023-50387. Onlarınkine göre KeyTrap DNS hatasıyla ilgili yeni raporAraştırmacılar, trafiği doğrulamak için DNSSEC uzantısını kullanan bir DNS sunucusu uygulamasına gönderilen tek bir paketin, sunucuyu bir çözümleme döngüsüne zorlayarak kendi bilgi işlem gücünün tamamını tüketmesine ve durmasına neden olabileceğini buldu. Akademisyenlerden oluşan ekibe göre, KeyTrap ile aynı anda birden fazla DNS sunucusu istismar edilirse, bunlar aynı anda kapatılabilir ve bu da yaygın İnternet kesintilerine neden olabilir.
Testlerde, bir saldırıdan sonra DNS sunucularının çevrimdışı kalma süresi farklılık gösterdi ancak rapor, en yaygın şekilde dağıtılan DNS uygulaması olan Bind 9’un 16 saate kadar donmuş kalabileceğini kaydetti.
Dünya çapında DNS sunucularını denetleyen İnternet Sistemleri Konsorsiyumu’na (ISC) göre, DNS sunucularının %34’ü DNS sunucuları Kuzey Amerika’da kimlik doğrulama için DNSSEC kullanılır ve bu nedenle bu kusura karşı savunmasızdırlar.
İyi haber şu ki rapora ve ISC’ye göre şu ana kadar aktif istismara dair bir kanıt yok.
Yeni DNS Siber Saldırı Sınıfı
ATHENE, KeyTrap’in tamamen yeni bir siber saldırı sınıfını temsil ettiğini ve ekibin buna “Algoritmik Karmaşıklık Saldırıları” adını verdiğini ekledi.
Araştırma ekibi son birkaç ayı, çalışmalarını herkese açık hale getirmeden önce gerekli yamaları dağıtmak için Google ve Cloudflare dahil olmak üzere büyük DNS servis sağlayıcılarıyla birlikte çalışarak geçirdi. Ekip, yamaların yalnızca geçici bir düzeltme olduğunu ve tasarımını tamamen yeniden düşünmek için DNSSEC standartlarını revize etmeye çalıştığını belirtti.
Rapora göre, “Araştırmacılar birkaç ay boyunca tüm ilgili satıcılar ve büyük genel DNS sağlayıcılarıyla çalıştı ve sonuçta satıcıya özel bir dizi yama ortaya çıktı; sonuncusu 13 Şubat Salı günü yayınlandı.” “Bu kritik güvenlik açığını azaltmak için tüm DNS hizmeti sağlayıcılarının bu yamaları hemen uygulamaları şiddetle tavsiye edilir.”
Omdia’nın siber güvenlikten sorumlu kıdemli baş analisti Fernando Montenegro, araştırmacıları satıcı ekosistemiyle yakın koordinasyon içinde kusuru açığa çıkardıkları için övüyor.
Karadağ, “Araştırmacılara teşekkür ediyorum” diyor. “Bu, araştırmacılar, hizmet sağlayıcılar ve yama oluşturmaktan sorumlu kişilerle koordineli olarak açıklandı.”
Buradan, etkilenen DNS çözümleyicileri için kalıcı bir düzeltmeye giden yolu bulmanın hizmet sağlayıcılara bağlı olduğunu ekliyor.
Karadağ, “Artık en son sürümü edinme ve güvenlik açığını düzeltme sorumluluğu DNS sunucularını çalıştıran kişilere geçiyor.” diyor.
ISC, sorunu çözse bile yöneticilerin DNS sunucularında DNSSEC doğrulamasını devre dışı bırakmasını önermez. Açık kaynak DNS uygulaması Bind 9’u çalıştıranlar için, ICS’nin bir güncellemesi var.
ICS şu sonuca varıyor: “Bunun yerine, son derece karmaşık bir DNSSEC doğrulamasının artık diğer sunucu iş yükünü engellemeyeceği, aşağıda listelenen BIND sürümlerinden birinin kurulmasını şiddetle tavsiye ediyoruz.”