Специалисты Немецкого национального исследовательского центра прикладной кибербезопасности ATHENE сообщили об обнаружении опасной уязвимости в механизме DNSSEC (Domain Name System Security Extensions) — наборе расширений протокола DNS. Брешь теоретически позволяет вывести из строя DNS-сервер путём проведения DoS-атаки.

В исследовании приняли участие сотрудники Франкфуртского университета имени Иоганна Вольфганга Гёте (Goethe University Frankfurt), Фраунгоферовского института технологий информационной безопасности (Fraunhofer SIT) и Дармштадтского технического университета (Technical University of Darmstadt).

Источник изображения: pixabay.com

Расширения DNSSEC призваны минимизировать атаки, связанные с подменой IP-адреса при обработке доменных имён. Технология нацелена на обеспечение достоверности и целостности данных. Принцип работы DNSSEC основан на использовании цифровых подписей, при этом сам механизм не шифрует данные и не изменяет управление ими.

Обнаруженная уязвимость получила название KeyTrap, или CVE-2023-50387: ей присвоен рейтинг опасности CVSS 7,5 балла из 10. Атака нацелена на DNS-резолвер. Отправка сформированного специальным образом пакета данных приводит к тому, что DNS-резолвер, использующий DNSSEC, начинает выполнять огромный объём ресурсоёмких криптографических вычислений. Кроме того, существует схожая уязвимость NSEC3 (CVE-2023-50868) при вычислении хешей.

Источник: ATHENE

Из-за такой алгоритмической атаки количество выполняемых CPU инструкций в DNS-резолвере возрастает в 2 млн раз, и система оказывается не в состоянии обрабатывать другие запросы. Исследователи заявляют, что один запрос может привести к недоступности сервера: в зависимости от реализации резолвера это состояние длится от 56 секунд до 16 часов.

По оценкам, на сегодняшний день DNS-резолверы с расширениями DNSSEC используют 31 % веб-клиентов в интернете. Таким образом, проблема носит масштабный характер. Она затрагивает, например, Google Public DNS, Quad9, OpenDNS и Cloudflare. Об уязвимости также сообщила компания Akamai, которая уже выпустила необходимые исправления для рекурсивных резолверов Akamai DNSi (CacheServe, AnswerX).

Уязвимость устранена в версиях Unbound 1.19.1, PowerDNS Recursor 4.8.6, 4.9.3 и 5.0.2, Knot Resolver 5.7.1, dnsmasq 2.90, BIND 9.16.48, 9.18.24 и 9.19.21. Примечательно, что уязвимость в BIND9 появилась ещё в 2000 году, а в Unbound — в 2007 году. И все эти годы проблемы никто не замечал, несмотря на открытость исходного кода обоих проектов.

Корпорация по управлению доменными именами и IP-адресами (ICANN) организовала общественное обсуждение предложения по созданию доменной зоны верхнего уровня (TLD) .Internal, предназначенной для частного использования и локальных (внутренних) сетей.

Идея состоит в том, что .Internal будет выполнять те же функции, что и, например, IPv4-блок 192.168.x.x. Этот диапазон не используется в общедоступном интернете. Указанные адреса предназначены для применения исключительно в локальных сетях, а их распределение никем не контролируется.

Источник изображения: pixabay.com

Консультативный комитет ICANN по безопасности и стабильности (SSAC) рекомендовал создать домен верхнего уровня вроде .Internal в 2020 году. Тогда отмечалось, что многие предприятия и поставщики устройств специально используют TLD, которых нет в корневой зоне, когда им необходимы имена для частного применения. Однако такая практика является нескоординированной и, как утверждается, может нанести вред пользователям интернета — отчасти из-за того, что DNS-серверы вынуждены обрабатывать и отклонять запросы к доменам, используемым только в локальных сетях.

Вместе с тем DNS-серверы не могут предотвратить внутреннее использование специальных TLD. Поэтому SSAC рекомендует создать домен, который изначально зарезервирован для локальных сетей. На этапе дебатов были получены 35 предложений по названию такого TLD. Оценки проводились для всех шести языков ООН: английского, арабского, испанского, китайского, русского и французского. В ходе обсуждения многие кандидаты «были признаны неподходящими из-за отсутствия значимости». В итоге, остались два подходящих варианта: .Private и .Internal. При этом .Private решено отклонить, поскольку это имя может ассоциироваться с завышенным уровнем приватности и вызывать противоречия.

После получения обратной связи и отзывов от участников рынка правление ICANN, как планируется, одобрит создание домена .Internal.

Google объявила о решении закрыть сервис доменных имён Google Domains и продать активы компании Squarespace Inc, занимающейся созданием веб-сайтов и хостингом. В рамках сделки к Squarespace перейдёт более 10 млн доменов, принадлежащих клиентам Google Domains. По данным Bloomberg, стоимость сделки составляет $180 млн.

В соответствии с условиями контракта Squarespace сохранит цены на прежнем уровне для всех существующих клиентов Google Domains в течение как минимум 12 месяцев после закрытия сделки. Чтобы обеспечить плавный переход, Squarespace задействует имеющуюся инфраструктуру Google Domains. Миграция не повлияет на делегирование доменов и DNS.

Источник изображения: Google

«Как только вы станете клиентом Squarespace, вы сможете управлять дополнительными услугами (по мере доступности) через их консоль управления, — сообщила Google. — Зашифрованные платёжные данные будут, где это применимо, безопасно перенесены в Squarespace и их платёжные системы».

Сервис Google Domains был запущен в 2014 году в виде закрытой бета-версии, в 2015 году он стал доступен для всех, но лишь спустя семь лет вышел из режима бета-тестирования. На данный Google Domains является пятым по величине регистратором для доменов верхнего уровня. Проведение сделки Google и Squarespace поддержит банк JPMorgan Chase, который частично обеспечит финансирование оплаты. Ожидается, что сделка будет завершена в III квартале 2023 года.

StormWall, разработчик решений защиты от DDoS-атак, обеспечил защиту DNS-инфраструктуры крупнейшего российского регистратора доменных имён RU-CENTER, а также обеспечил стабильную маршрутизацию трафика к интернет-ресурсам клиентов RU-CENTER в условиях мощных DDoS-атак.

Весной 2022 года RU-CENTER столкнулся с лавиной мощнейших DDoS-атак, направленных на его DNS-серверы, с которыми не справлялись имеющиеся системы защиты, что привело к сбоям в нестабильной работе DNS-инфраструктуры. В результате у клиентов регистратора возникли проблемы с доступностью их ресурсов, а также со скоростью обновления DNS-записей.

Источник изображения: Pixabay

RU-CENTER принял решение привлечь StormWall, перед которой была поставлена задача не только обезопасить приложения путем фильтрации трафика на уровне интернет-приложений, но и обеспечить гибкую защиту на уровне самого протокола DNS. В итоге RU-CENTER при поддержке StormWall в кратчайшие сроки подключил и настроил защиту от DDoS-атак, обеспечив 100-% отражение атак и решив проблемы с доступностью DNS-серверов.

В настоящее время регистрируется и отражается в среднем около 100 DDoS-атак на интернет-сервисы RU-CENTER в день. То есть обеспечивается полная защита, несмотря на то, что мощность некоторых атак составляет несколько сотен Гбайт/c. У RU-CENTER более 900 тыс. клиентов, а количество зарегистрированных доменов приближается к 7,5 млн.