Door een design-fout in security-extensies op het netwerkprotocol zijn grote delen van de wereld af te sluiten van het internet. Onderzoekers verduidelijkten het gevaar met de ontwikkeling van een KeyTrap-aanval die slechts één DNS-pakket nodig heeft.
Het netwerkprotocol bevat een makkelijk uit te buiten, risicovolle kwetsbaarheid. De kwetsbaarheid is al zeker twintig jaar onderdeel van alle populaire Domain Name Systems (DNS)-implementaties of -diensten, waaronder Google en Cloudflare. Onderzoekers gingen met het risico aan de slag en ontwikkelden succesvol de KeyTrap-aanval.
Voor een KeyTrap-aanval moeten hackers slechts één verzoek sturen om een denial-of-service (DoS)-aanval te volbrengen. De impact van de aanval kan omvangrijk zijn en grote delen van de wereld de internettoegang ontzeggen. Het gaat om “De ergste aanval op DNS die ooit ontdekt werd”, volgens DNS-aanbieders.
Design-fout in DNSSEC
De kwetsbaarheid zou te wijten zijn aan een design-fout in DNSSEC. Deze extensies op DNS moeten dienen voor een betere beveiliging. De functie controleert de bron waar een internetverzoek vandaan komt en onderschept verzoeken waarmee geknoeid werd. DNSSEC zou de kwetsbaarheid sinds 2012 bevatten, door de implementatie van standaarden RFC 6781 en RFC 6840. Eerder was het ook onderdeel van de internetstandaard RFC 2535, maar deze is nog afkomstig uit 1999 en is dus verouderd.
De ontwerpfout heeft wel gevolgen voor alle DNS-implementaties, aldus de onderzoekers. Het DNS organiseert dat een internetgebruiker de website kan bezoeken waar naartoe wordt gesurft. Dit gebeurt door numerieke IP-adressen uit te wisselen, die de basis vormen van het internetprotocol. De internetgebruiker ziet echter niets van dit protocol, omdat het verhuld wordt door leesbare domeinnamen.
De uitwisseling kan worden georganiseerd door de aanbieder van de website, maar in de praktijk wordt hiervoor vaak een DNS-aanbieder betaald en dus verantwoordelijk gesteld voor een domeinnaam. Dit niet omwille van de moeilijkheid van het protocol, maar vanuit het idee dat deze aanbieder beter zal waken over de kwaliteit en betere maatregelen heeft tegen aanvallen op de website.
KeyTrap-aanval
KeyTrap is een vorm van Algorithmic Complexity Attacks. Deze valt computersystemen door misbruik te maken van inefficiënte algoritmen of processen om het systeem te overbelasten. Een veel voorkomende uitwerking van deze aanvallen is een DoS-aanval en daar hebben we in dit geval ook mee te maken.
De aanval heeft een enorme kracht, maar kan al tot stand komen door een kleine handeling. De aanvaller heeft aan één DNS-pakket voldoende om de CPU uit te putten. Het verstuurde pakket verhoogd hiervoor het aantal CPU-instructies met twee miljoen keer.
Een ander belangrijk aspect voor een succesvolle DoS-aanval is de duur van de blokkering. Dit verschilt bij een KeyTrap-aanval enorm en kan gaan van een minuscule impact van 56 seconden tot een grote impact van zestien uur.
Veiligheid afhankelijk van DNS-aanbieder
Voor de aanval ontwikkelden de onderzoekers in samenwerking met Google en Cloudflare, verschillende patches. De ontwikkeling nam enkele maanden in beslag, omdat het niet mogelijk was tot één patch te komen maar de kwetsbaarheid aangepakt moest worden per aanbieder van DNS-diensten. De onderzoekers vragen de aanbieders deze patches te installeren.
De vraag naar deze handeling wijst erop dat de onderzoekers alvast niet van iedere aanbieder zekerheid hebben dat de kwetsbaarheid is opgelost. Het is daarom niet gegarandeerd dat hackers geen succesvolle KeyTrap-aanval zullen uitvoeren. Google en Cloudflare installeerden de oplossingen onmiddellijk door hun betrokkenheid in het onderzoek.
Het is echter niet eenvoudig om de fout volledig uit DNSSEC te krijgen doordat het om een standaard gaat. “Het lijkt erop dat het volledig voorkomen van de aanvallen een fundamentele heroverweging van de onderliggende ontwerpfilosofie van DNSSEC vereist.”
Gevolgen op verschillende niveaus
De gevolgen van een KeyTrap-aanval zijn voornamelijk op te merken aan een afsluiting van de internettoegang. De onderzoekers spreken zelf over: “ernstige gevolgen voor elke toepassing die internet gebruikt, waaronder het niet beschikbaar zijn van technologieën zoals surfen op het web, e-mail en instant messaging.”
Het protocol doet daarnaast dienst in webapplicaties. Volgens een recente meting gebruikt 31,47 procent van de webclients wereldwijd DNSSEC om internetverzoeken te controleren. Deze webapplicaties zullen ook hinder ondervinden door een KeyTrap-aanval.
Echter is dat slechts een initieel gevolg en merken de onderzoekers op dat de gevolgen daarna nog zullen doorsijpelen in het uitschakelen van beveiligingsmechanismen. Het gaat hierbij bijvoorbeeld om de uitschakeling van maatregelen tegen spam-berichten, PKI’s en internetroutering.
Vondst door expertise te bundelen en nieuwe kennis
De vondst van de kwetsbaarheid en de ontwikkeling van een KeyTrap-aanval is het resultaat van een samenwerking tussen onderzoekers van het Onderzoeksinsituut Athene, de Universiteit van Frankfurt, Fraunhofer SIT en de Technische Universiteit van Darmstadt.
Het onderzoek bewijst dat ook protocollen die al lang meegaan, niet feilloos zijn omwille van hun lange bestaan. Dat bleek eveneens bij de kwetsbaarheid Log4j. Alleen was dat probleem eenvoudiger te ontdekken, stellen de onderzoekers. Het ontwikkelen van een exploit vroeg om “een combinatie van verschillende vereisten.” De grootschaligheid van het project zal daaraan hebben bijgedragen, maar ook de nieuwe kennis over kwetsbaarheden en steeds meer geavanceerde tools. Daarom is de kwetsbaarheid al 24 jaar geweten, maar bleef uitbuiting achterwege.
Lees ook: Infoblox SOC Insights brengt DNS-inzichten naar securityteams
23 uur geleden
