DNSSEC’de, tehdit aktörleri tarafından kullanıldığında web’de gezinme, e-posta ve anlık mesajlaşma gibi teknolojilerin kullanılamamasına yol açabilecek yeni bir kusur keşfedildi. Bu yeni saldırı sınıfı araştırmacılar tarafından “KeyTrap” olarak adlandırıldı.
Üstelik bir tehdit aktörü dünya çapındaki internetin büyük bir bölümünü tamamen devre dışı bırakabilir. KeyTrap saldırıları yalnızca DNS’yi değil aynı zamanda onu kullanan uygulamaları da etkiler. “KeyTrap” saldırı sınıfına CVE-2023-50387 atanmış olup ciddiyeti henüz sınıflandırılmamıştır. Aralık 2023 itibarıyla web istemcilerinin %31,47’si dünya çapında DNSSEC doğrulayan DNS çözümleyicileri kullanıyordu.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Teknik Analiz
Bu güvenlik açığı, özel hazırlanmış DNSSEC imzalı bölgelerden gelen yanıtların işlenmesi nedeniyle ortaya çıkar ve DNSSEC doğrulama çözümleyicisinde CPU’nun tükenmesine neden olur.
Bu güvenlik açığından başarıyla yararlanılması, çözümleyicinin performansını önemli ölçüde etkileyerek DNS çözümleme hizmetini kesintiye uğratabilir.
Geçici bir çözüm olarak DNSSEC doğrulaması tamamen devre dışı bırakılarak bu güvenlik açığı önlenebilir. Ancak bu önerilen bir çözüm değildi. Ayrıca, bu güvenlik açığının tehdit aktörleri tarafından aktif olarak kullanıldığına dair hiçbir kanıt yoktur.
Bu güvenlik açığını gidermek için BIND 9 ve BIND Supported Preview Edition’ın aşağıdaki sürümlerine yükseltmeniz önerilir:
Bununla birlikte araştırmacılar, 1999’dan kalma eski bir internet standardı olan RFC 2535’i tanımlayan “Kusurların yeni olmadığını” da belirttiler. 2012’ye hızlı bir şekilde ilerlendiğinde, RFC 6781 ve RFC 6840 standartlarında DNSSEC doğrulaması için başka bir uygulama hatası daha vardı.
Bu güvenlik açığı son 25 yıldır mevcut olmasına rağmen DNSSEC doğrulama gereksinimlerinin karmaşıklığı nedeniyle topluluk tarafından fark edilmedi.
Bu güvenlik açığından yararlanıldıysa, yalnızca DNS’nin kullanılamamasına neden olmakla kalmayacak, aynı zamanda istenmeyen posta önleme savunmaları, Genel Anahtar Altyapısı (PKI) ve hatta RPKI gibi alanlar arası yönlendirme güvenliği gibi güvenlik mekanizmalarını devre dışı bırakma gibi potansiyel risklere de sahip olabilecektir. (Kaynak Ortak Anahtar Altyapısı).
Ayrıca ATHENE araştırmacıları tarafından bu güvenlik açığıyla ilgili, etki, saldırı türleri, vektörler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.