Er zijn twee kwetsbaarheden geïdentificeerd in verschillende implementaties van het DNSSEC-protocol, die betrekking hebben op de DNS-resolvers BIND, PowerDNS, dnsmasq, Knot Resolver en Unbound. Deze kwetsbaarheden maken een denial-of-service mogelijk voor DNS-resolvers die validatie uitvoeren met DNSSEC, vanwege een hoge CPU-belasting die de verwerking van andere verzoeken verstoort. Om een aanval uit te voeren, volstaat het om een verzoek te sturen naar een DNS-resolver met DNSSEC, wat resulteert in toegang tot een speciaal ontworpen DNS-zone op de server van de aanvaller.
Problemen geïdentificeerd:
- CVE-2023-50387 (codenaam KeyTrap) - Bij toegang tot speciaal ontworpen DNS-zones veroorzaakt dit een denial-of-service vanwege de aanzienlijke CPU-belasting en een lange uitvoering van DNSSEC-verificatie. Om de aanval uit te voeren, is het noodzakelijk om een domeinzone met kwaadaardige instellingen te plaatsen op een DNS-server die door de aanvaller wordt beheerd, en tevens toegang te verkrijgen tot deze zone van een recursieve DNS-server, waarvan de aanvaller een denial-of-service bewerkstelligt.
De kwaadaardige instellingen komen neer op het gebruik van een combinatie van conflicterende sleutels, RRSET-records en digitale handtekeningen voor een zone. Pogingen om deze sleutels te gebruiken, resulteren in lange, resource-intensieve bewerkingen die de CPU volledig kunnen overbelasten en de verwerking van andere verzoeken kunnen blokkeren (zo zou een aanval op BIND de verwerking van andere verzoeken 16 uur lang hebben stilgelegd).
- CVE-2023-50868 (codenaam NSEC3) is een denial-of-service-kwetsbaarheid vanwege de aanzienlijke rekenkracht die nodig is voor het berekenen van hashes in NSEC3 (Next Secure v3)-records bij het verwerken van speciaal vervaardigde DNSSEC-reacties. De aanvalsmethode is vergelijkbaar met de eerste kwetsbaarheid, met dit verschil dat er een speciaal vervaardigde NSEC3 RRSET-recordset wordt aangemaakt op de DNS-server van de aanvaller.
Er wordt opgemerkt dat de hierboven genoemde kwetsbaarheden worden veroorzaakt door de definitie in de DNSSEC-specificatie van het vermogen van een DNS-server om alle beschikbare cryptografische sleutels te verzenden, terwijl resolvers alle ontvangen sleutels moeten verwerken totdat de controle succesvol is of alle ontvangen sleutels zijn geverifieerd.
Om kwetsbaarheden in resolvers te voorkomen, zijn het maximale aantal DNSSEC-sleutels dat betrokken is bij het opbouwen van een vertrouwensketen en het maximale aantal hashberekeningen voor NSEC3 beperkt, en is het aantal herhaalpogingen voor verificatie voor elke RRSET (combinatie van sleutels en handtekeningen) en elk antwoord beperkt. server.
De beveiligingslekken zijn verholpen in updates voor Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90) en BIND (9.16.48, 9.18.24 en 9.19.21). De status van de beveiligingslekken in deze distributies kan worden geraadpleegd op de volgende pagina's: Debian, UbuntuSUSE, RHEL, Fedora, Arch LinuxGentoo, Slackware, NetBSD, FreeBSD.
In BIND DNS-serverversies 9.16.48, 9.18.24 en 9.19.21 zijn nog een aantal kwetsbaarheden verholpen:
- CVE-2023-4408 - Het parseren van grote DNS-berichten kan leiden tot een hoge CPU-belasting.
- CVE-2023-5517 - Een speciaal ontworpen reverse zone request kan een crash veroorzaken doordat een assert check wordt geactiveerd. Dit probleem doet zich alleen voor in configuraties met de instelling "nxdomain-redirect" ingeschakeld.
- CVE-2023-5679 - Recursieve hostresolutie kan een crash veroorzaken doordat een assertiecontrole wordt geactiveerd op systemen met DNS64 en ondersteuning voor "serve-stale" ingeschakeld (instellingen, stale-cache-enable en stale-answer-enable).
- CVE-2023-6516 - Speciaal opgestelde recursieve query's kunnen ervoor zorgen dat een proces geen geheugen meer heeft.
Bron: opennet.ru
