Microsoft’un bu hafta Salı Yaması’nda bir düzeltme eki yayınladığı kusurların en tehlikelisi, Şubat ayında Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC) protokolünde kamuya açıklanan hizmet reddi (DoS) güvenlik açığıdır.
Olarak tanımlanan güvenlik açığı CVE-2023-50868 Next Secure Hash 3 ( Next Secure Hash 3) adı verilen üçüncü taraf bir DNSSEC mekanizmasında mevcutturNSEC3) var olmayan bir etki alanının gerçekten var olmadığını kanıtlamak ve böylece imzalı DNS bölgelerinin kötü amaçlı olarak kataloglanmasına karşı koruma sağlamak için. Güvenlik açığı, saldırganlara, DNS çözümleyicisinin yanıt vermeye çalışırken bilgi işlem kaynaklarını tüketmesine neden olacak DNS paketleri oluşturmanın bir yolunu sunuyor.
Unbound, BIND, dnsmasq, PowerDNS, çeşitli Linux dağıtımları ve Microsoft’tan çok önce yama yayınlayan diğerleri dahil olmak üzere birçok farklı satıcıyı ve projeyi etkiliyor. Önerilerin bir listesi burada bulunabilir.
DNSSEC Kaynak Tükenme Kusurları
CVE-2023-50868 aslında Alman Ulusal Uygulamalı Siber Güvenlik Araştırma Merkezi ATHENE’den araştırmacıların geçen yıl sektör paydaşlarını sessizce bilgilendirdiği iki ciddi DNSSEC kusurundan biridir.
Diğeri ise CVE-2023-50387veya “KeyTrap”, araştırmacıların, saldırganların İnternetin büyük bir bölümünü çökertmek hiç azalmadan kalsaydı. Cloud Range’in teknolojiden sorumlu başkan yardımcısı Tom Marsland, KeyTrap’i bu kadar tehlikeli kılan şeyin, saldırganlara savunmasız bir DNS Sunucusunun işlem kapasitesini tüketmek için tek bir paket kullanma yolu sunması, yani onu çevrimdışı hale getirmesi olduğunu söylüyor. “Bunu, sunucuları CPU’larına aşırı yük bindiren ekstra hesaplamalar yapmaları için kandırarak yapıyor.” Tüm DNS sunucularının yaklaşık %31’inin saldırıya karşı savunmasız olduğunu tahmin ediyor.
CVE-2023-50868, saldırganlara DNS çözümleyici CPU döngülerini tüketme ve yanıt vermemelerine neden olma yolu sunması bakımından benzerdir.
Fortra Güvenlik Ar-Ge Direktör Yardımcısı Tyler Reguly, CVE-2023-50868 gibi protokol düzeyindeki kusurlarla ilgili en büyük sorunlardan birinin, saldırganlara sunucuyu bağlama ve sunucuyu yavaşlatma veya yanıt vermeyi tamamen durdurma yolu vermeleri olduğunu söylüyor .
“Hizmet reddi, DNS sunucusunun yanıt verme hızını yavaşlattığında, bir saldırganın DNS önbellek zehirlenmesi gerçekleştirmesi gereken süre büyük ölçüde artar” diyor. “Bu kusurun ilginç yanı, var olmayan alanlar için DNS önbellek zehirlenmesini zorlaştırmak üzere tasarlanan teknolojinin, önbellek zehirlenmesini saldırganlar için daha kolay hale getirmesidir.”
Microsoft’un Yalnız Sıfır Gün Dünyası
Birkaç büyük DNS çözümleme hizmeti sağlayıcısı, tehdide yönelik azaltıcı önlemler geliştirdikten sonra Şubat ayında her iki DNSSEC kusurunun ayrıntılarını koordineli bir açıklamayla kamuya açıkladı. Microsoft da bir yama yayınladı O zamanlar KeyTrap için çalışıyordu ancak CVE-2023-50868 için bir düzeltme duyurmak için bu haftaya kadar bekledi; bu da hatayı en azından Microsoft açısından sıfır gün tehdidi haline getiriyor.
Reguly, aslında Microsoft’un bu hedefe ulaşmasının bu kadar uzun sürmesinin biraz şaşırtıcı olduğunu belirtiyor. Bunun bir nedeninin, çoğu kuruluşun harici DNS için diğer hizmetlere güvenmesi olabileceğinden şüpheleniyor ve Microsoft, Microsoft’un DNS çözümleme hizmetleriyle ilişkili riskin o kadar da önemli olmadığını düşünüyor.
“Geçmişte, protokol kusurlarının da işin içine karıştığı durumlarda satıcıların önemli ürünler üzerinde birlikte çalıştıklarını gördük ve satıcı topluluğunun bir araya gelip bu sorunları büyük bir sızıntı olmadan çözmek için bu kadar iyi çalışabilmesi beni her zaman etkiliyor. ” diyor Düzenli olarak. “Microsoft’un bu CVE konusunda neden başarısız olduğunu bilmiyorum, ancak bu düzeltmeyi yayınlamalarının diğer satıcılardan neden bu kadar uzun sürdüğünü açıklamalarını görmek isterim.”
Menlo Security’nin baş güvenlik mimarı Lionel Litty, bir başka sorunun da DNSSEC kaynak tüketme kusurları gibi algoritmik karmaşık güvenlik açıklarının düzeltilmesinin zor olabileceğini söylüyor.
Litty, “Bu tür bir sorunu düzeltmek, algoritmaların nasıl uygulandığını yeniden düşünmeyi ve spesifikasyona ne zaman uyulmayacağına karar vermeyi gerektirebilir çünkü bunu yapmak, mantıksız miktarda hesaplama gerektirecektir” diyor. “Ayrıca, hiçbir istemcinin diğerlerinin isteklerine zamanında yanıt vermesini engelleyememesi için, isteklerin sunucu tarafından nasıl önceliklendirileceğine ilişkin daha temel yeniden tasarımlara da yol açabilir.” Bu açıdan bakıldığında, bu sorunun çözülmesinin bazı satıcıların daha fazla zaman alması şaşırtıcı değil, diyor.
Sektörler Arası İşbirliği
CVE-2023-50868 ve CVE-2023-50387, son yıllarda protokol düzeyinde veya temel İnternet teknolojilerinde mevcut oldukları için sektör çapında bir müdahaleyi zorlayan çeşitli hatalar arasında yer alıyor. Sözde Heartbleed güvenlik açığı 2014’ten itibaren OpenSSL protokolünde en dikkate değer olanlardan biri olmaya devam ediyor. Ama başkaları da vardı.
Nispeten yeni örnekler arasında Bluetooth protokolündeki bir örnek yer almaktadır (CVE-2023-45866), UPnP Tak ve Çalıştır protokolünde bir diğeri olarak adlandırılan ÇağrıYabancı ve GTP protokolünde mobil ağları tehdit eden bir güvenlik açığı.
Sectigo’nun kıdemli başkan yardımcısı Jason Soroko, satıcılar arası bu tür sorunların düzeltilmesinde karışık bir kayıt görüyor.
“Bazı satıcılar yanıt verme becerilerini ve koordinasyonlarını geliştirirken diğerleri geride kaldı” diyor. “Farklı satıcılar ve güvenlik araştırmacıları arasındaki koordinasyon, güvenlik açıklarını hızlı bir şekilde ele almak ve azaltmak için daha fazla işbirlikçi çabayla birlikte genel olarak iyileşti. Ancak yama uygulamasının hızı ve verimliliği hala sektör genelinde önemli ölçüde farklılık gösteriyor.”