روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  گروهی از محققین به نمایندگی چندین دانشگاه و مؤسسه آلمانی آسیب‌پذیری‌ای در DNSSEC (مجموعه افزونه‌هایی در پروتکل DNS که برای ارتقای امنیت آن طراحی شدند و اول از همه هدفشان مبارزه با اسپوف یا جعل DNS است) کشف کردند. این حمله که  KeyTrap نام گرفته و این آسیب‌پذیری را اکسپلویت می‌کند می‌تواند با ارسال پکت واحد داده مخرب، سرور DNS را غیرفعال کند. با ما همراه باشید.

KeyTrap چه ساز و کاری دارد و  چه چیزی آن را خطرناک می‌کند؟

آسیب‌پذیری DNSSEC تازگی به اطلاع عموم رسیده است اما دسامبر 2023 کشف شد و به عنوان CVE-2023-50387 ثبت گشت. امتیاز  CVSS 3.1  (7.5) و درجه شدت «بالا» به آن اختصاص داده شد. اطلاعات کامل در مورد این آسیب‌پذیری و حمله مربوط به آن هنوز منتشر نشده. در ادامه به ساز و کار کی‌ترپ پرداخته‌ایم. عامل مخرب نام سروری را راه‌می‌اندازد که با پکت مخرب به درخواست‌های سرورهای DNS پاسخ می‌هد؛ همان‌هایی که مستقیم به درخواست‌ کلاینت‌ها رسیدگی می‌کنند. سپس مهاجم از سرور حافظه پنهان درخواست یک رکورد DNS از سرور نام مخرب خود را دارد. رکورد ارسال شده در پاسخ، پرونده‌ای مخرب با امضای رمزنگاری شده است. نحوه ایجاد امضا باعث می‌شود سرور DNS مورد حمله تلاش کند تا آن را تأیید کند تا برای مدت طولانی با ظرفیت کامل CPU کار کند. به گفته محققین، بسته به نرم افزاری که روی آن اجرا می شود، تنها یک بسته مخرب می تواند سرور DNS را از 170 ثانیه تا 16 ساعت مسدود کند. حمله KeyTrap نه تنها می تواند دسترسی به محتوای وب را برای همه مشتریانی که از سرور DNS هدفمند استفاده می‌کنند منع کند، بلکه خدمات زیرساختی مختلفی مانند حفاظت از هرزنامه، مدیریت گواهی دیجیتال (PKI) و مسیریابی بین دامنه ای امنRPKI)  )را مختل کند.

محققین از KeyTrap به عنوان "بدترین حمله به DNS کشف شده تا کنون" یاد می‌کنند. جالب است که نقص در منطق اعتبارسنجی امضا که KeyTrap را ممکن می‌سازد، در یکی از اولین نسخه‌های مشخصات DNSSEC، که در سال 1999 منتشر شده بود، کشف شد. به عبارت دیگر، این آسیب‌پذیری در آستانه 25 سالگی است!

راهکار امنیتی

محققین به همه توسعه‌دهندگان نرم‌افزار سرور DNS و ارائه‌دهندگان اصلی و عمومی DNS  هشدار دادند. به‌روزرسانی‌ها و توصیه‌های امنیتی برای رفع CVE-2023-50387 اکنون برای PowerDNS، NLnet Labs Unbound، و Internet Systems Consortium BIND9 در دسترس هستند.  اگر مدیر یک سرور DNS هستید، وقت آن رسیده که به‌روزرسانی‌ها را نصب کنید. با این حال، به خاطر داشته باشید که مسائل منطقی DNSSEC که KeyTrap را ممکن کرده است، ماهیت اساسی دارند و به راحتی قابل رفع نیستند.

پچ‌های منتشر شده توسط توسعه‌دهندگان نرم‌افزار DNS تنها می‌توانند تا حدودی به حل مشکل کمک کنند، زیرا آسیب‌پذیری بخشی از استاندارد است، نه پیاده‌سازی خاص. یکی از محققین می‌گوید: «اگرKeyTrap را علیه یک حل‌کننده‌ی وصله‌شده راه‌اندازی کنیم، هنوز 100 درصد از CPU استفاده می‌کنیم، اما هنوز می‌تواند پاسخ دهد.» اکسپلویت عملی از نقص همچنان یک احتمال باقی می‌ماند و نتیجه بالقوه آن خرابی حل‌کننده غیرقابل پیش‌بینی است. در صورتی که این اتفاق بیفتد، مدیران شبکه شرکتی بهتر است فهرستی از سرورهای DNS پشتیبان تهیه کنند تا بتوانند در صورت نیاز برای حفظ عملکرد عادی شبکه سوئیچ کنند و به کاربران اجازه دهند منابع وب مورد نیاز خود را بدون مانع مرور کنند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.