近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個可導(dǎo)致全球互聯(lián)網(wǎng)癱瘓的名為KeyTrap的嚴重漏洞。該漏洞隱藏在域名系統(tǒng)安全擴展(DNSSEC)功能中，可被攻擊者利用發(fā)動DoS攻擊，長時間阻斷應(yīng)用程序訪問互聯(lián)網(wǎng)。

KeyTrap漏洞分配的CVE編號為CVE-2023-50387，屬于DNSSEC設(shè)計缺陷，影響幾乎所有主流域名系統(tǒng)(DNS)實現(xiàn)或服務(wù)。攻擊者僅需發(fā)送一個惡意DNS數(shù)據(jù)包，便能使易受攻擊的解析器陷入長期拒絕服務(wù)(DoS)狀態(tài)。

DNSSEC是域名系統(tǒng)(DNS)的一個安全擴展功能，通過加密簽名為DNS記錄提供身份驗證，確保DNS數(shù)據(jù)來自權(quán)威名稱服務(wù)器，且沒有在路由過程中被篡改，從而保護用戶免于被引導(dǎo)至惡意網(wǎng)站。

可癱瘓全球大部分互聯(lián)網(wǎng)的漏洞

KeyTrap漏洞由來自德國國家應(yīng)用網(wǎng)絡(luò)安全研究中心ATHENE的研究人員聯(lián)合歌德大學(xué)法蘭克福特分校、弗勞恩霍夫安全信息技術(shù)研究所和達姆施塔特工業(yè)大學(xué)的專家共同發(fā)現(xiàn)。

據(jù)研究人員介紹，該漏洞源于DNSSEC需要發(fā)送所支持密文的所有相關(guān)加密密鑰以及驗證簽名。即使某些DNSSEC密鑰配置錯誤、不正確或?qū)儆诓皇苤С值拿芪模矔?zhí)行相同的流程。

攻擊者利用此漏洞開發(fā)了一種新的基于DNSSEC的算法復(fù)雜性DoS攻擊，可以將DNS解析器中的CPU指令計數(shù)增加200萬倍，從而延遲其響應(yīng)。

這種DoS攻擊狀態(tài)的持續(xù)時間取決于解析器實現(xiàn)，但研究人員表示，單個攻擊請求可以使響應(yīng)延遲56秒到16個小時。

KeyTrap攻擊中單次請求導(dǎo)致的DNS解析延遲

ATHENE在披露報告中寫道：“利用此攻擊將對任何使用互聯(lián)網(wǎng)的應(yīng)用程序產(chǎn)生嚴重后果，包括網(wǎng)絡(luò)瀏覽、電子郵件和即時消息等技術(shù)可能無法使用?！?/p>

研究人員表示：“利用KeyTrap，攻擊者可以完全癱瘓全球互聯(lián)網(wǎng)的大部分地區(qū)?！?/p>

有關(guān)漏洞的完整詳細信息以及其在現(xiàn)代DNS實現(xiàn)中如何復(fù)現(xiàn)的技術(shù)報告已于本周早些時候發(fā)布。

容易受到KeyTrap攻擊影響的DNS軟件、服務(wù)、工具和代碼庫

研究人員從2023年11月初開始演示KeyTrap攻擊如何影響谷歌和Cloudflare等DNS服務(wù)提供商（上圖），并與這些公司合作開發(fā)緩解措施。

漏洞存在近25年

ATHENE表示，KeyTrap漏洞自1999年以來就存在于廣泛使用的標準中，近25年來一直未被發(fā)現(xiàn)，主要原因是DNSSEC驗證的復(fù)雜性。

盡管受影響的廠商已經(jīng)推送了修復(fù)程序或正在緩解KeyTrap風(fēng)險，ATHENE表示，從根本上解決問題可能需要重新評估DNSSEC的設(shè)計理念。

作為對KeyTrap威脅的回應(yīng)，Akamai在2023年12月至2024年2月期間開發(fā)并部署了針對其DNSi遞歸解析器（包括CacheServe和AnswerX）以及其云和托管解決方案的緩解措施。

Akamai指出，根據(jù)APNIC的數(shù)據(jù)，大約35%的美國互聯(lián)網(wǎng)用戶和全球30%的互聯(lián)網(wǎng)用戶依賴使用DNSSEC驗證的DNS解析器，因此易受KeyTrap攻擊。

盡管Akamai沒有披露太多緩解措施細節(jié)，但根據(jù)ATHENE的論文，Akamai的解決方案是將加密失敗限制在最多32個，基本上可以防止攻擊者通過耗盡CPU資源來延遲或癱瘓網(wǎng)絡(luò)。

目前，谷歌和Cloudflare也都已經(jīng)開始著手修復(fù)其DNS服務(wù)。