KeyTrap DNS-Bug bedroht weiträumige Internet-Ausfälle
Dank einer 24 Jahre alten Sicherheitslücke mit der Kennung CVE-2023-50387 können Angreifer DNS-Server mit nur einem bösartigen Paket zum Stillstand bringen und dadurch weite Teile des Internets abschalten.
Designfehler in DNS-Sicherheitserweiterung entdeckt
Forscher haben kürzlich einen Designfehler in einer Sicherheitserweiterung des Domain Name System (DNS) entdeckt, der seit dem Jahr 2000 besteht. Unter bestimmten Umständen könnte diese Schwachstelle ausgenutzt werden, um weiträumige Internet-Ausfälle zu verursachen.
DNS-Server sind für die Übersetzung von Website-URLs in IP-Adressen und den Transport des gesamten Internetverkehrs verantwortlich. Die Schwachstelle, bekannt als KeyTrap oder CVE-2023-50387, ermöglicht es einem einzelnen Paket, das über die DNSSEC-Erweiterung an einen DNS-Server gesendet wird, den Server in einer Auflösungsschleife zu bringen.
Der Server wird seine gesamte Rechenleistung verbrauchen und zum Stillstand kommen, was möglicherweise mehrere DNS-Server zum Absturz bringen und umfangreiche Internet-Ausfälle verursachen kann.
Tests und Auswirkungen auf DNS-Server
Bei Tests wurde festgestellt, dass die Dauer der Ausfallzeiten von DNS-Servern variierte. BIND 9, die am weitesten verbreitete DNS-Implementierung, konnte bis zu 16 Stunden lang lahmgelegt werden. Diese Schwachstelle betrifft 34% der DNS-Server in Nordamerika, die DNSSEC zur Authentifizierung verwenden.
Bisher gibt es keine Hinweise auf aktive Ausnutzung dieser Schwachstelle. Es ist jedoch entscheidend, dass DNS-Service-Provider umgehend die erforderlichen Patches anwenden, um das Risiko zu mindern.
Die Forscher, die KeyTrap entdeckt haben, bezeichnen es als eine neue Art von Cyberangriff namens 'Algorithmische Komplexitätsangriffe'. Sie haben mit großen DNS-Service-Providern zusammengearbeitet, um Patches bereitzustellen, betonen jedoch, dass die Patches nur eine vorübergehende Lösung darstellen. Eine Überarbeitung der DNSSEC-Standards ist erforderlich, um den grundlegenden Designfehler zu beheben.
Weitere Schritte und Empfehlungen
Die Forscher loben die enge Zusammenarbeit mit Herstellern und Service-Providern zur Offenlegung des Fehlers und zur Erstellung von Patches. Sie fordern DNS-Server-Administratoren auf, auf die neueste Version zu aktualisieren und die Schwachstelle zu patchen, um das Risiko zu mindern.
Eine Deaktivierung der DNSSEC-Validierung auf DNS-Servern wird nicht empfohlen, obwohl dies vorübergehend das Problem lösen würde. Das Internet Systems Consortium empfiehlt Organisationen, die die Open-Source-DNS-Implementierung Bind 9 verwenden, spezifische Versionen zu installieren, die die Schwachstelle beheben.
Es ist entscheidend, dass Service-Provider und DNS-Administratoren eine dauerhafte Lösung für betroffene DNS-Resolver priorisieren, um die Sicherheit und Stabilität des Internets zu gewährleisten.
