自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

DNS安全爆出史詩(shī)級(jí)漏洞,可導(dǎo)致全球互聯(lián)網(wǎng)大面積癱瘓

作者:佚名
安全 漏洞
近日,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)可導(dǎo)致全球互聯(lián)網(wǎng)癱瘓的名為KeyTrap的嚴(yán)重漏洞。該漏洞隱藏在域名系統(tǒng)安全擴(kuò)展(DNSSEC)功能中,可被攻擊者利用發(fā)動(dòng)DoS攻擊,長(zhǎng)時(shí)間阻斷應(yīng)用程序訪問(wèn)互聯(lián)網(wǎng)。

近日,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)可導(dǎo)致全球互聯(lián)網(wǎng)癱瘓的名為KeyTrap的嚴(yán)重漏洞。該漏洞隱藏在域名系統(tǒng)安全擴(kuò)展(DNSSEC)功能中,可被攻擊者利用發(fā)動(dòng)DoS攻擊,長(zhǎng)時(shí)間阻斷應(yīng)用程序訪問(wèn)互聯(lián)網(wǎng)。

KeyTrap漏洞分配的CVE編號(hào)為CVE-2023-50387,屬于DNSSEC設(shè)計(jì)缺陷,影響幾乎所有主流域名系統(tǒng)(DNS)實(shí)現(xiàn)或服務(wù)。攻擊者僅需發(fā)送一個(gè)惡意DNS數(shù)據(jù)包,便能使易受攻擊的解析器陷入長(zhǎng)期拒絕服務(wù)(DoS)狀態(tài)。

DNSSEC是域名系統(tǒng)(DNS)的一個(gè)安全擴(kuò)展功能,通過(guò)加密簽名為DNS記錄提供身份驗(yàn)證,確保DNS數(shù)據(jù)來(lái)自權(quán)威名稱服務(wù)器,且沒(méi)有在路由過(guò)程中被篡改,從而保護(hù)用戶免于被引導(dǎo)至惡意網(wǎng)站。

可癱瘓全球大部分互聯(lián)網(wǎng)的漏洞

KeyTrap漏洞由來(lái)自德國(guó)國(guó)家應(yīng)用網(wǎng)絡(luò)安全研究中心ATHENE的研究人員聯(lián)合歌德大學(xué)法蘭克福特分校、弗勞恩霍夫安全信息技術(shù)研究所和達(dá)姆施塔特工業(yè)大學(xué)的專家共同發(fā)現(xiàn)。

據(jù)研究人員介紹,該漏洞源于DNSSEC需要發(fā)送所支持密文的所有相關(guān)加密密鑰以及驗(yàn)證簽名。即使某些DNSSEC密鑰配置錯(cuò)誤、不正確或?qū)儆诓皇苤С值拿芪?,也?huì)執(zhí)行相同的流程。

攻擊者利用此漏洞開(kāi)發(fā)了一種新的基于DNSSEC的算法復(fù)雜性DoS攻擊,可以將DNS解析器中的CPU指令計(jì)數(shù)增加200萬(wàn)倍,從而延遲其響應(yīng)。

這種DoS攻擊狀態(tài)的持續(xù)時(shí)間取決于解析器實(shí)現(xiàn),但研究人員表示,單個(gè)攻擊請(qǐng)求可以使響應(yīng)延遲56秒到16個(gè)小時(shí)。

KeyTrap攻擊中單次請(qǐng)求導(dǎo)致的DNS解析延遲KeyTrap攻擊中單次請(qǐng)求導(dǎo)致的DNS解析延遲

ATHENE在披露報(bào)告中寫(xiě)道:“利用此攻擊將對(duì)任何使用互聯(lián)網(wǎng)的應(yīng)用程序產(chǎn)生嚴(yán)重后果,包括網(wǎng)絡(luò)瀏覽、電子郵件和即時(shí)消息等技術(shù)可能無(wú)法使用?!?/p>

研究人員表示:“利用KeyTrap,攻擊者可以完全癱瘓全球互聯(lián)網(wǎng)的大部分地區(qū)。”

有關(guān)漏洞的完整詳細(xì)信息以及其在現(xiàn)代DNS實(shí)現(xiàn)中如何復(fù)現(xiàn)的技術(shù)報(bào)告已于本周早些時(shí)候發(fā)布。

容易受到KeyTrap攻擊影響的DNS軟件、服務(wù)、工具和代碼庫(kù)容易受到KeyTrap攻擊影響的DNS軟件、服務(wù)、工具和代碼庫(kù)

研究人員從2023年11月初開(kāi)始演示KeyTrap攻擊如何影響谷歌和Cloudflare等DNS服務(wù)提供商(上圖),并與這些公司合作開(kāi)發(fā)緩解措施。

漏洞存在近25年

ATHENE表示,KeyTrap漏洞自1999年以來(lái)就存在于廣泛使用的標(biāo)準(zhǔn)中,近25年來(lái)一直未被發(fā)現(xiàn),主要原因是DNSSEC驗(yàn)證的復(fù)雜性。

盡管受影響的廠商已經(jīng)推送了修復(fù)程序或正在緩解KeyTrap風(fēng)險(xiǎn),ATHENE表示,從根本上解決問(wèn)題可能需要重新評(píng)估DNSSEC的設(shè)計(jì)理念。

作為對(duì)KeyTrap威脅的回應(yīng),Akamai在2023年12月至2024年2月期間開(kāi)發(fā)并部署了針對(duì)其DNSi遞歸解析器(包括CacheServe和AnswerX)以及其云和托管解決方案的緩解措施。

Akamai指出,根據(jù)APNIC的數(shù)據(jù),大約35%的美國(guó)互聯(lián)網(wǎng)用戶和全球30%的互聯(lián)網(wǎng)用戶依賴使用DNSSEC驗(yàn)證的DNS解析器,因此易受KeyTrap攻擊。

盡管Akamai沒(méi)有披露太多緩解措施細(xì)節(jié),但根據(jù)ATHENE的論文,Akamai的解決方案是將加密失敗限制在最多32個(gè),基本上可以防止攻擊者通過(guò)耗盡CPU資源來(lái)延遲或癱瘓網(wǎng)絡(luò)。

目前,谷歌和Cloudflare也都已經(jīng)開(kāi)始著手修復(fù)其DNS服務(wù)。

責(zé)任編輯:華軒 來(lái)源: GoUpSec
漏洞網(wǎng)絡(luò)安全
相關(guān)推薦

2015-08-04 09:39:04

2016-10-24 12:06:21

2012-12-11 10:59:05

Gmail谷歌

2023-11-10 15:39:23

2020-12-15 09:47:38

Google攻擊服務(wù)中斷

2014-01-21 17:05:45

2012-04-16 15:05:39

數(shù)據(jù)壟斷互聯(lián)網(wǎng)

2019-03-18 13:55:30

Siri蘋果iCloud

2015-05-28 18:37:26

2020-12-01 13:08:21

物聯(lián)網(wǎng)物聯(lián)網(wǎng)安全

2021-10-20 11:00:39

工業(yè)互聯(lián)網(wǎng)/網(wǎng)絡(luò)安全

2022-04-01 11:39:32

互聯(lián)網(wǎng)裁員紅利

2015-04-12 21:43:40

2023-04-03 20:20:32

2013-05-02 09:20:50

移動(dòng)互聯(lián)網(wǎng)

2012-03-19 10:44:06

2016-11-22 13:43:32

聚焦烏鎮(zhèn)互聯(lián)網(wǎng)大會(huì)用友

2023-01-07 14:51:53

AI

2009-04-26 15:02:17

安全web
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)