Две рањивости су идентификоване у различитим имплементацијама ДНССЕЦ протокола, које утичу на БИНД, ПоверДНС, днсмаск, Кнот Ресолвер и Унбоунд ДНС разрешиваче. Рањивости могу да доведу до ускраћивања услуге за ДНС разрешиваче који врше ДНССЕЦ валидацију тако што ће изазвати велико оптерећење процесора које омета обраду других захтева. Да би се извршио напад, довољно је послати захтев ДНС резолверу користећи ДНССЕЦ, што доводи до позива у посебно дизајнирану ДНС зону на серверу нападача.
Идентификовани проблеми:
- ЦВЕ-2023-50387 (кодно име КеиТрап) – Када се приступа посебно дизајнираним ДНС зонама, то доводи до ускраћивања услуге због значајног оптерећења процесора и дугог извршавања ДНССЕЦ провера. Да би се извршио напад, потребно је поставити доменску зону са злонамерним подешавањима на ДНС сервер који контролише нападач, као и обезбедити да овој зони приступа рекурзивни ДНС сервер, чије ускраћивање услуге нападач тражи .
Злонамерна подешавања укључују коришћење комбинације конфликтних кључева, РРСЕТ записа и дигиталних потписа за зону. Покушај верификације коришћењем ових кључева резултира дуготрајним операцијама које захтевају доста ресурса које могу у потпуности да учитају ЦПУ и блокирају обраду других захтева (на пример, тврди се да је у нападу на БИНД било могуће зауставити обраду остали захтеви за 16 сати).
- ЦВЕ-2023-50868 (кодни назив НСЕЦ3) је ускраћивање услуге због значајног израчунавања који се обавља приликом израчунавања хешова у НСЕЦ3 (Нект Сецуре в3) записима приликом обраде посебно креираних ДНССЕЦ одговора. Метод напада је сличан првој рањивости, осим што се на ДНС серверу нападача креира посебно дизајниран скуп НСЕЦ3 РРСЕТ записа.
Напомиње се да је појава горе наведених рањивости узрокована дефиницијом у ДНССЕЦ спецификацији могућности ДНС сервера да пошаље све доступне криптографске кључеве, док решавачи морају да обрађују све примљене кључеве док се провера не заврши успешно или све примљени кључеви су верификовани.
Као мере за блокирање рањивости у ресолверима, максималан број DNSSEC кључева укључених у процес изградње ланца поверења и максималан број хеш прорачуна за NSEC3 су ограничени, а поновни покушаји верификације за сваки RRSET (комбинацију кључева и потписа) и сваки одговор су ограничени. сервер.
Рањивости су исправљене у ажурирањима за Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90) и BIND (9.16.48, 9.18.24 и 9.19.21). Статус исправки рањивости у овим дистрибуцијама може се проценити на овим страницама: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Генту, Слеквер, НетБСД, ФриБСД.
Верзије БИНД ДНС сервера 9.16.48, 9.18.24 и 9.19.21 додатно су поправиле још неколико рањивости:
- ЦВЕ-2023-4408 Парсирање великих ДНС порука може изазвати велико оптерећење процесора.
- ЦВЕ-2023-5517 – Захтев за посебно направљену реверзну зону може довести до пада услед покретања провере потврђивања. Проблем се појављује само у конфигурацијама са омогућеном поставком „нкдомаин-редирецт“.
- ЦВЕ-2023-5679 – Рекурзивно откривање хоста може да доведе до пада услед покретања провере потврђивања на системима са подршком за ДНС64 и омогућеном „серве-стале“ (подешавања, омогућавање застарелог кеша и омогућавање застарелог одговора).
- ЦВЕ-2023-6516 Посебно направљени рекурзивни упити могу довести до тога да процес исцрпи меморију која им је доступна.
Извор: опеннет.ру
