BIND, PowerDNS, dnsmasq, Knot Resolver va Unbound DNS resolverlariga ta'sir qiluvchi DNSSEC protokolining turli ilovalarida ikkita zaiflik aniqlandi. Zaifliklar boshqa so'rovlarni qayta ishlashga xalaqit beradigan yuqori protsessor yukini keltirib, DNSSEC tekshiruvini amalga oshiradigan DNS-resolverlarga xizmat ko'rsatishni rad etishga olib kelishi mumkin. Hujumni amalga oshirish uchun DNSSEC-dan foydalangan holda DNS-reseptorga so'rov yuborish kifoya, bu esa tajovuzkor serveridagi maxsus mo'ljallangan DNS zonasiga qo'ng'iroq qilishga olib keladi.
Aniqlangan muammolar:
- CVE-2023-50387 (kod nomi KeyTrap) – Maxsus ishlab chiqilgan DNS zonalariga kirishda bu protsessorning katta yuklanishi va DNSSEC tekshiruvlarining uzoq davom etishi tufayli xizmatni rad etishga olib keladi. Hujumni amalga oshirish uchun tajovuzkor tomonidan boshqariladigan DNS-serverga zararli sozlamalari bo'lgan domen zonasini joylashtirish, shuningdek, bu zonaga rekursiv DNS-server tomonidan kirishini ta'minlash kerak, bu esa tajovuzkor xizmat ko'rsatishni rad etishga intiladi. .
Zararli sozlamalar zona uchun ziddiyatli kalitlar, RRSET yozuvlari va raqamli imzolar kombinatsiyasidan foydalanishni o'z ichiga oladi. Ushbu kalitlar yordamida tekshirishga urinish protsessorni to'liq yuklashi va boshqa so'rovlarni qayta ishlashni bloklashi mumkin bo'lgan ko'p vaqt talab qiladigan, resurs talab qiladigan operatsiyalarga olib keladi (masalan, BIND-ga hujumda qayta ishlashni to'xtatish mumkin bo'lganligi da'vo qilinadi. 16 soatlik boshqa so'rovlar).
- CVE-2023-50868 (kod nomi NSEC3) maxsus tayyorlangan DNSSEC javoblarini qayta ishlashda NSEC3 (Next Secure v3) yozuvlarida xeshlarni hisoblashda amalga oshirilayotgan muhim hisoblar tufayli xizmatni rad etishdir. Hujum usuli birinchi zaiflikka o'xshaydi, bundan tashqari, tajovuzkorning DNS serverida maxsus ishlab chiqilgan NSEC3 RRSET yozuvlari to'plami yaratilgan.
Qayd etilishicha, yuqorida qayd etilgan zaifliklarning paydo bo‘lishi DNSSEC spetsifikatsiyasida DNS server uchun mavjud bo‘lgan barcha kriptografik kalitlarni jo‘natish qobiliyatining ta’rifi bilan bog‘liq, shu bilan birga hal qiluvchilar qabul qilingan kalitlarni tekshirish muvaffaqiyatli yakunlanmaguncha yoki barchasini qayta ishlashlari kerak. qabul qilingan kalitlar tasdiqlangan.
Rezolverlardagi zaifliklarni blokirovka qilish choralari sifatida, ishonch zanjirini yaratish jarayonida ishtirok etadigan DNSSEC kalitlarining maksimal soni va NSEC3 uchun xesh hisoblashlarining maksimal soni cheklangan va har bir RRSET (kalitlar va imzolar kombinatsiyasi) va har bir javob uchun tekshirishning takroriy urinishlari cheklangan. server.
Zaifliklar Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90) va BIND (9.16.48, 9.18.24 va 9.19.21) yangilanishlarida tuzatildi. Ushbu distributivlardagi zaifliklarni tuzatish holatini quyidagi sahifalarda baholash mumkin: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware, NetBSD, FreeBSD.
BIND DNS serverining 9.16.48, 9.18.24 va 9.19.21 versiyalari qoʻshimcha ravishda yana bir qancha zaifliklarni tuzatdi:
- CVE-2023-4408 Katta DNS xabarlarini tahlil qilish yuqori protsessor yuklanishiga olib kelishi mumkin.
- CVE-2023-5517 - Maxsus ishlab chiqilgan teskari zona so'rovi tasdiqlov tekshiruvi ishga tushirilishi tufayli ishdan chiqishiga olib kelishi mumkin. Muammo faqat “nxdomain-redirect” sozlamasi yoqilgan konfiguratsiyalarda paydo bo'ladi.
- CVE-2023-5679 – Rekursiv xostni aniqlash DNS64 qo‘llab-quvvatlashi va “xizmat ko‘rsatish eskirgan” (sozlamalar, eskirgan kesh-yoqish va eski-javob-yoqish) yoqilgan tizimlarda tasdiqlash tekshiruvi ishga tushirilishi tufayli ishdan chiqishiga olib kelishi mumkin.
- CVE-2023-6516 Maxsus ishlab chiqilgan rekursiv so'rovlar jarayonning mavjud xotirani to'ldirishiga olib kelishi mumkin.
Manba: opennet.ru
