KeyTrap という DNS の脆弱性 CVE-2023-50387:広範囲でインターネットを停止させる恐れ

‘KeyTrap’ DNS Bug Threatens Widespread Internet Outages

2024/02/21 DarkReading — 2000年以降から放置されてきた、DNS (Domain Name System) のセキュリティ拡張機能における基本的な設計上の欠陥が、最近になって研究者たちにより解明された。DNS サーバとは、Web サイトの URL を IP アドレスに変換するという、目立たない機能を提供するものだが、すべてのインターネット・トラフィックの転送において、不可欠なものである。


この脆弱性を解明したのは、ドイツの Applied Cybersecurity の ATHENE National Research Center だ。彼らは、このセキュリティ脆弱性を “KeyTrap” と名付け、CVE-2023-50387 として追跡している。この脆弱性に関する最新レポートによると、トラフィックを検証するために DNSSEC 拡張機能を使用する、DNS サーバ実装に対して送信された単一のパケットが、サーバを解決ループに追い込み、自身の計算能力を全て消費させ、ストールさせる可能性があることを、研究者たちが発見したという。

この研究チームが指摘するのは、複数の DNS サーバにおいて、同時に KeyTrap を悪用された場合には、同時にダウンが発生し、広範囲でインターネットが停止するという可能性である。

研究チームのレポートには、「攻撃後に DNS サーバがオフラインを継続した時間は様々であったが、最も広く導入されている DNS 実装である Bind 9 は、最大で 16時間の停止に追い込まれた」と記されている。

世界中の DNS サーバを監督する ISC (Internet Systems Consortium) によると、北米の DNS サーバの 34%が認証に DNSSEC を使用しているため、この欠陥の影響を受けやすいという。幸いなことに、このレポートと ISC によると、今のところ積極的に悪用された形跡は確認されていないとのことだ。

新種の DNS サイバー攻撃

ATHENE の研究チームは、KeyTrap は全く新しいクラスのサイバー攻撃であるとして、”Algorithmic Complexity Attacks” と名付けた。

この研究チームは過去数ヶ月間にわたって、Google や Cloudflare を含む主要な DNS サービス・プロバイダーと協力して、必要なパッチを配布してきた。同チームは、このパッチは一時的な修正に過ぎず、DNSSEC の設計を全面的に見直すための、スタンダードの改訂に取り組んでいると述べている。

レポートには、「研究者たちは、関連する全てのベンダーおよび、主要なパブリック DNS プロバイダーと数カ月にわたって協力し、多くのベンダー固有のパッチを作成してきた。その中の最新のパッチが、2024年2月13日に公開された。DNS サービスを提供する全てのプロバイダーに推奨するのは、DNS の深刻な脆弱性を軽減するために、これらのパッチを直ちに適用することだ」と記されている。

Omdia の Senior Principal Analyst for Cybersecurity である Fernando Montenegro は、ベンダーのエコシステムと緊密に連携して欠陥を公表した、研究者たちを称賛している。彼は、「研究者たちに敬意を表したい。これは、研究者/サービス・プロバイダー/パッチを作成する責任者たちとの、連携により解明された重要な問題である」とコメントしている。

さらに Montenegro は、ここから展開の中で、影響を受ける DNS リゾルバの恒久的な修正への道筋を見つけるのは、サービス・プロバイダー次第だと述べている。彼は、「現時点で DNS サーバを運用している人々には、最新バージョンを入手して、脆弱性にパッチを当てる責任がある」と述べている。

ISC は、管理者が DNS サーバの DNSSEC 検証を無効化することを推奨していない。ICS は、オープンソースの DNS 実装である、Bind 9 を実行しているユーザーに対して、アップデートを用意している。

ICS は、「DNSSEC 検証を無効化する代わりに、BIND のアドバイザリに記されている、いずれかのバージョンのインストールを強く推奨する。このバージョンでは、例外的に複雑な DNSSEC 検証は、もはや他のサーバの作業負荷を妨げることはない」と締め括っている。

大まかなところで、DNS の機能は理解しているという程度では、奥行きを測ることができませんが、ネットワークに詳しい人なら、より深い理解が可能なのだろうと推測します。DNSSEC 検証という不可欠な機能と、KeyTrap CVE-2023-50387 の関連が判明したという、素晴らしい研究成果ですね。よろしければ、BIND で検索も、ご利用ください。