W zeszłym miesiącu ujawniono dwie luki w zabezpieczeniach DNSSEC o podobnym opisie i tej samej wadze, ale nie stanowią one tego samego problemu.
Jeden nazwany Pułapka na klucze (CVE-2023-50387) niemieckiego Krajowego Centrum Badań nad Cyberbezpieczeństwem Stosowanym (ATHENE), został opisany przez dyrektora wykonawczego Akamai, Svena Dummera, jako „jeden z najgorszych programów, jakie kiedykolwiek odkryto”, ponieważ można go wykorzystać do zniszczenia dużych części Internetu.
KeyTrap umożliwił pojedynczemu pakietowi DNS otrzymanie odmowy usługi poprzez wyczerpanie zasobów procesora urządzeń obsługujących usługi DNS zweryfikowane przez DNSSEC, takie jak te dostarczane przez Google i Cloudflare.
DNSSEC (Domain Name System Security Extensions) zapewnia metodę szyfrowania w celu ochrony interakcji DNS. Ale zastosuj to Dostosuj Nie uwzględnia możliwości wystąpienia złośliwych pakietów, które mogłyby zmusić osobę odpowiadającą do zawiązania się węzłem w celu obowiązkowych obliczeń.
Kolejną wadą DNSSEC jest załącznik NSEC3 (CVE-2023-50868), zostało odkryte przez Petera Špačka z Internet Systems Consortium (ISC) i zostało również przedstawione jako ryzyko wyczerpania procesora. Jednak na podstawie analizy zespołu ATHENE wydaje się, że obecnie jest to w dużej mierze nieistotne.
Obydwie otrzymały ocenę ważności 7,5 na 10 w ramach Common Vulnerability Scoring System (CVSS) opracowanej przez MITRE, organizację non-profit zajmującą się bezpieczeństwem, która prowadzi finansowane ze środków federalnych centra badawczo-rozwojowe w Stanach Zjednoczonych.
Obie luki zostały również opisane w poradnikach wydanych przez ISC, producenta oprogramowania BIND 9 DNS, którego dotyczy luka, przy użyciu identycznej terminologii. Przeciwdziałanie brutalnemu ekstremizmowi Pułapka na klucze I NSEC3-CAN Każdy z nich wskazuje, że luki można wykorzystać do przeprowadzenia ataków typu „odmowa usługi”.
Oto jak ICS opisuje KeyTrap:
Oto określenie NSEC3-encloser:
Zdaniem Hayi Schulmann, profesor informatyki na Uniwersytecie Goethego we Frankfurcie i jednego z pracowników naukowych ATHENE odpowiedzialnych za badania KeyTrap, te dwie luki nie są porównywalne pod względem wagi. Schulman powiedział e-mailem Nagrywać Eksperymenty wskazują, że odmowa usługi spowodowana wyczerpaniem procesora nie jest możliwa ze względu na lukę NSEC3.
Shulman powiedział, że zespół ATHENE opublikował wyniki na ten temat w papier [PDF] Zatytułowany „Atak za pomocą czegoś, co nie istnieje: powolne zalewanie „dowodem na nieistnienie” może wyczerpać procesor programu rozpoznawania nazw DNS”.
Powiedziała, że badanie skupia się szczególnie na wpływie luki w zabezpieczeniach NSEC3-encloser i stwierdza, że jest ona kilkakrotnie mniej obciążająca rdzenie procesora niż KeyTrap.
„Przeprowadziliśmy szeroko zakrojoną ocenę ataku NSEC3-encuser i odkryliśmy, że może on prowadzić do ogromnego wzrostu liczby instrukcji procesora w programach rozpoznawania nazw DNS ofiar” – czytamy w artykule. „To znacznie mniej niż niedawno ujawniony atak KeyTrap, który spowodował wzrost liczby instrukcji procesora o 2 000 000”.
Powiedziano nam, że artykuł został udostępniony kilku dostawcom oprogramowania DNS, w tym ISC, od 17 marca i jak dotąd nie wywołał żadnej odpowiedzi.
Nagrywać zapytał Mitri, każdy Naładowany CVE, aby skomentować obawy wyrażone przez Shulmana i współpracowników. Nie usłyszeliśmy odpowiedzi.
Shulman twierdzi, że zgłosiła te wątpliwości firmie MITRE, która odpowiedziała w następujący sposób:
Shulman uznał tę odpowiedź za niepokojącą, ponieważ MITER zdawał się sugerować, że ocena znaczenia luki może się różnić w zależności od tego, z jakich dokumentów skorzystano.
„Odpowiedź MITRE wskazuje, że istnieją różne punkty widzenia na temat tej luki, zachęcając zainteresowane strony do przeczytania całego raportu technicznego, aby zrozumieć, że opis MITRE jest nieprawidłowy” – napisała. „Badania naukowe wyciągają wnioski na podstawie analizy i oceny, a nie opinii i punktów widzenia.
„Chociaż nasz raport techniczny zawiera szczegółowe analizy i oceny,… Blog Międzynarodowego Centrum Studiów Krótko opisuje oba problemy, ale bez żadnych szczegółów. Odpowiedź MITRE jest również sprzeczna z informacjami NIST dotyczącymi procesu przypisywania luk w zabezpieczeniach, ponieważ proces ten wymaga, aby analitycy wykorzystali wszelkie dostępne informacje w celu określenia ich wagi. „W wyniku „przyjęcia jednej perspektywy” przez MITRE zarówno wynik CVSS, jak i opisy CVE są nieprawidłowe i wprowadzające w błąd”.
NIST nie odpowiedział natychmiast na prośbę o komentarz.
Według Shulmana te dwa połączone wyzwania pokazują, że istnieją powody, aby wątpić w ważność i kontrolę jakości ocen podatności przeprowadzanych przez MITRE oraz prowadzonej przez NIST Krajowej bazy danych o podatnościach, w której przechowywane są takie informacje.
Chociaż czasami rozsądne może być, aby MITER przedstawiał „punkt widzenia” dostawców w raportach o lukach w zabezpieczeniach, należy to robić ostrożnie, ponieważ dostawcy mogą mieć tendencję do bagatelizowania poważnych luk w zabezpieczeniach, aby uniknąć negatywnego rozgłosu, mówi Shulman.
Jako przykład podaje niedawny kompromis dotyczący klucza podpisywania firmy Microsoft.
„To naruszenie dotknęło klientów produktów chmurowych Azure, a zrozumienie najdrobniejszych szczegółów naruszenia było niezbędne, aby organizacje mogły się bronić” – wyjaśniła. „Jednak społeczność miała obawy, że Microsoft zataił szczegóły włamania, bagatelizując znaczenie incydentu”.
Shulman twierdzi, że MITER i inne osoby odpowiedzialne za rozpowszechnianie informacji dotyczących reakcji na zabezpieczenia muszą dokładniej oceniać podatności, nawet jeśli oznacza to, że dostawca będzie czuł się niekomfortowo.
„Ważne jest, aby MITER zachował profesjonalizm i bezstronność w ocenie informacji o podatnościach na zagrożenia, aby społeczeństwo mogło na nich polegać” – powiedział Schulman. „W szczególności MITER powinien, jak stwierdził NIST, wykorzystać wszelkie dostępne informacje, na których może oprzeć swoją ocenę.
„Brak przejrzystości i poleganie na preferowanej perspektywie może nie tylko wywołać brak zaufania wśród aktorów, ale może również zaszkodzić bezpieczeństwu publicznemu”. ®