Sicherheitslücken in DNSSEC-Implementierungen gefährden Nameserver

Es gibt eine neue Sicherheitslücke, die Nameserver, die auf Bind oder Unbound basieren, bedroht. Diese Lücke, die als KeyTrap bezeichnet wird, kann dazu führen, dass Nameserver legitime Anfragen ablehnen. Deutsche Entdecker haben diese Lücke entdeckt und sie ermöglicht es Angreifern, aus der Ferne auf Resolver zuzugreifen und die Lücke auszunutzen.

Resolver sind DNS-Server, die für die Namensauflösung zuständig sind und beispielsweise in Unternehmensnetzwerken oder bei Internetdienstanbietern eingesetzt werden. Ein bekannter öffentlicher Resolver ist der kostenlose Dienst von Google, der unter der IP-Adresse 8.8.8.8 erreichbar ist.

Um diese Schwachstelle auszunutzen, muss der Angreifer einen verwundbaren Resolver finden, der über das Internet erreichbar ist und eine bestimmte Version von Bind oder Unbound verwendet. Anschließend beauftragt der Angreifer den Resolver damit, einen vorbereiteten und mittels DNSSEC signierten Domainnamen aufzulösen, was zu einer hohen CPU-Auslastung auf dem Server führt und möglicherweise zu einer Dienstverweigerung (DoS).

Die Ursache für KeyTrap liegt in einer speziellen Kombination von Schlüsseln, DNS-Einträgen und kryptographischen Signaturen, die den Server dazu veranlassen, wertvolle Taktzyklen für die Überprüfung der Antwort zu verschwenden. Eine weitere Schwachstelle mit der Bezeichnung CVE-ID CVE-2023-50868 zielt ebenfalls auf dasselbe Problem ab. Hier liegt die Ursache in der kostspieligen Berechnung von NSEC3-Hashwerten.

Während Unbound nur von den KeyTrap- und NSEC3-Lücken betroffen ist, hat das Unternehmen ISC, das hinter dem Bind-Nameserver steht, auch weitere Probleme identifiziert. Einige dieser Sicherheitslücken betreffen sowohl Resolver als auch autoritative Server, die für die Auflösung einer einzelnen Domain wie .de verantwortlich sind.

Die fünf identifizierten Sicherheitslücken haben alle den CVSS-Wert 7,5 und werden daher als hochriskant eingestuft. Eine dieser Lücken führt zu einer Denial-of-Service-Situation, bei der Resolver und autoritative Server einen hohen CPU-Verbrauch aufweisen, wenn sie große DNS-Anfragen verarbeiten. Zwei weitere Lücken führen zu einem Ausfall der Bind-Resolver, indem der Serverprozess abstürzt. Eine weitere Methode der Dienstverweigerung besteht darin, dass der Arbeitsspeicher aufgrund einer fehlgeschlagenen Cache-Säuberungsaktion überfüllt wird.

Die Entwickler von Unbound haben diese DNSSEC-Fehler in Version 1.19.0 behoben. Die behobenen Versionen von Bind tragen die Nummern 9.16.48, 8.18.24 und 9.19.21 (für Kunden der kommerziellen Variante in der -S1-Ausgabe verfügbar).

Es wird empfohlen, dass DNS-Administratoren schnell handeln und die entsprechenden Updates vornehmen. Im vergangenen Jahr hatte Bind bereits mit DoS-Problemen zu kämpfen, während Unbound bisher keine derartigen Probleme aufwies.

Für Personen, die mit den Begriffen DNS, DNSSEC, Resolver und NSEC3 nicht vertraut sind, gibt es die Möglichkeit, ihre Kenntnisse in einem Artikel mit dem Titel Admin-Know-how: Eine Erklärung des Domain Name Systems zu vertiefen.

Schlagwörter: KeyTrap + DNSSEC + Googles

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 13. Februar 2024
FEHLER!