DNSSEC isteklerinin işlenememesi, bağlama tabanlı veya ilişkisiz ad sunucularının senkronizasyonunu bozarak meşru istekleri reddetmelerine neden olabilir. Alman keşifçiler tarafından “KeyTrap” olarak adlandırılan güvenlik açığı, ön çalışma yapılması halinde saldırganlar tarafından uzaktan kullanılabilir.
Duyuru
Ancak bu yalnızca “çözücüler” olarak adlandırılan, yani bir şirketin ağındaki veya İnternet erişim sağlayıcısının ağındaki adların çözümlenmesinden sorumlu olan DNS sunucuları ile mümkündür. En iyi bilinen kamu çözümleyicilerinden biri, Google'ın 8.8.8.8 depolanabilir IP adresine sahip ücretsiz hizmetidir.
İlk olarak, saldırganın, güvenlik açığı bulunan bir Bind sürümüne (9.11.37 ila 9.16.46, 9.18.0 ila 9.18.22 veya 9.19.0 ila 9.19.20) veya 1.19'dan önceki bir sürüme sahip, İnternet'ten erişilebilen bir çözümleyiciye sahip olması gerekir. 0. Daha sonra sunucuya, daha önce hazırlayıp DNSSEC aracılığıyla imzaladığı bir alan adını çözümlemesini söyler, bu da sunucuda yüksek CPU yüküne ve muhtemelen hizmet reddine (DoS) neden olur. KeyTrap suçludur (CVE-2023-50387, CVSS 7.5/10, risk “yüksek“) sunucunun yanıtı doğrulamak için çok büyük miktarda değerli saat döngüsünü boşa harcamasına neden olan anahtarların, DNS girişlerinin ve kriptografik imzaların özel bir birleşimi.
Benzer şekilde ikinci bir güvenlik açığı da CVE-2023-50868 CVE ID'siyle karşımıza çıkıyor. Burada NSEC3 hash değerlerinin pahalı hesaplanması Hizmet Reddine neden oluyor, ayrıca CVSS değeri ve risk derecelendirmesi 7,5/10 ve “yüksek“.
Bind için daha fazla güvenlik yaması
Unbound yalnızca KeyTrap ve NSEC3 deliklerinden etkilenirken, Bind ad sunucusunun arkasındaki şirket olan ISC'den sorumlu olanlar başka sorunlarla ilgileniyor. Bunlar kısmen çözümleyiciler ve kısmen de tek bir alanı (Haber gibi) çözümlemekten sorumlu olan “yetkili sunucular” olarak adlandırılır.
Aşağıdaki beş güvenlik açığının tümü 7,5 CVSS puanına ve bunun sonucunda ortaya çıkan risk derecesine sahiptir”yüksek“:
Bind geçtiğimiz yıl DoS sorunlarıyla boğuştu, Unbound ise şu ana kadar bu konuda pek iyi olduğunu kanıtlayamadı. DNS, DNSSEC, çözümleyici ve NSEC3'ün ne anlama geldiğini bilmiyorsanız buradan daha fazla bilgi edinebilirsiniz: Yönetim Bilgisi: Alan Adı Sistemi Açıklaması.
(cku)
Haberin Sonu
Duyuru
Ancak bu yalnızca “çözücüler” olarak adlandırılan, yani bir şirketin ağındaki veya İnternet erişim sağlayıcısının ağındaki adların çözümlenmesinden sorumlu olan DNS sunucuları ile mümkündür. En iyi bilinen kamu çözümleyicilerinden biri, Google'ın 8.8.8.8 depolanabilir IP adresine sahip ücretsiz hizmetidir.
İlk olarak, saldırganın, güvenlik açığı bulunan bir Bind sürümüne (9.11.37 ila 9.16.46, 9.18.0 ila 9.18.22 veya 9.19.0 ila 9.19.20) veya 1.19'dan önceki bir sürüme sahip, İnternet'ten erişilebilen bir çözümleyiciye sahip olması gerekir. 0. Daha sonra sunucuya, daha önce hazırlayıp DNSSEC aracılığıyla imzaladığı bir alan adını çözümlemesini söyler, bu da sunucuda yüksek CPU yüküne ve muhtemelen hizmet reddine (DoS) neden olur. KeyTrap suçludur (CVE-2023-50387, CVSS 7.5/10, risk “yüksek“) sunucunun yanıtı doğrulamak için çok büyük miktarda değerli saat döngüsünü boşa harcamasına neden olan anahtarların, DNS girişlerinin ve kriptografik imzaların özel bir birleşimi.
Benzer şekilde ikinci bir güvenlik açığı da CVE-2023-50868 CVE ID'siyle karşımıza çıkıyor. Burada NSEC3 hash değerlerinin pahalı hesaplanması Hizmet Reddine neden oluyor, ayrıca CVSS değeri ve risk derecelendirmesi 7,5/10 ve “yüksek“.
Bind için daha fazla güvenlik yaması
Unbound yalnızca KeyTrap ve NSEC3 deliklerinden etkilenirken, Bind ad sunucusunun arkasındaki şirket olan ISC'den sorumlu olanlar başka sorunlarla ilgileniyor. Bunlar kısmen çözümleyiciler ve kısmen de tek bir alanı (Haber gibi) çözümlemekten sorumlu olan “yetkili sunucular” olarak adlandırılır.
Aşağıdaki beş güvenlik açığının tümü 7,5 CVSS puanına ve bunun sonucunda ortaya çıkan risk derecesine sahiptir”yüksek“:
- CVE-2023-4408, yetkili çözümleyiciler ve sunucular tarafından büyük DNS isteklerini işlerken yüksek CPU tüketimi nedeniyle ortaya çıkan başka bir hizmet reddi güvenlik açığıdır.
- CVE-2023-5517 ve CVE-2023-5679 da bağlantı çözümleme hatalarına neden olur, ancak bu durumda sunucu işleminin çökmesi ve
- CVE-2023-6516 üçüncü bir hizmet reddi seçeneğini kullanıyor: Burada önbellek temizleme işleminin kontrolden çıkması nedeniyle RAM doluyor.
Bind geçtiğimiz yıl DoS sorunlarıyla boğuştu, Unbound ise şu ana kadar bu konuda pek iyi olduğunu kanıtlayamadı. DNS, DNSSEC, çözümleyici ve NSEC3'ün ne anlama geldiğini bilmiyorsanız buradan daha fazla bilgi edinebilirsiniz: Yönetim Bilgisi: Alan Adı Sistemi Açıklaması.
(cku)
Haberin Sonu