Шульман против MITRE: уязвимости DNSSEC неравнозначны по своему ущербу

В прошлом месяце были обнародованы две уязвимости DNSSEC с похожими описаниями и одинаковой оценкой серьёзности. Многие администраторы тогда могли подумать, что это одна и та же проблема, но на самом деле это две абсолютно разные уязвимости. Далее рассмотрим их отличия подробнее.

Одна из уязвимостей, получившая название KeyTrap ( CVE-2023-50387 ) и выявленная Национальным исследовательским центром прикладной кибербезопасности Германии (ATHENE), была описана исполнительным директором Akamai Сведом Думмером как «одна из худших, когда-либо обнаруженных», так как её можно было использовать для отключения больших участков Интернета.

Уязвимость позволяет всего одному DNS -пакету прерывать обслуживание, исчерпывая ресурсы ЦП машин, работающих с DNSSEC-проверенными сервисами, такими как те, что предоставляются Google и Cloudflare.

Вторая уязвимость DNSSEC, озаглавленная NSEC3 ( CVE-2023-50868 ), была найдена Петром Шпачеком из Internet Systems Consortium (ISC) и также была обозначена как исчерпывающая ресурсы ЦП. Однако, согласно анализу, проведённому командой ATHENE, она оказалась в значительной степени менее опасной.

Обе уязвимости получили оценку серьёзности 7,5 из 10 по системе оценки уязвимостей CVSS от некоммерческой организации безопасности MITRE .

Хая Шульман, профессор информатики Франкфуртского университета им. Гёте, участвовавшая в исследовании KeyTrap, считает, что эти две уязвимости несопоставимы по степени серьёзности. По её словам, эксперименты показывают, что с уязвимостью NSEC3 на практике невозможно провести DoS-атаку путём исчерпания ресурсов ЦП.

Шульман утверждает, что оценка MITRE, которая назначила эти CVE, противоречит процессам, установленным Национальным институтом стандартов и технологий ( NIST ), требующим от аналитиков использовать любую доступную информацию для установления степени серьёзности уязвимости.

Шульман призывает MITRE и другие организации, занимающиеся распространением информации об уязвимостях, быть более точными в своих оценках, даже если это вызовет недовольство поставщиков.

Отсутствие прозрачности и опора на «предпочтительную перспективу» могут не только подорвать доверие между участниками, но и нанести ущерб общей безопасности, добавила Шульман.

После выхода материала NIST прокомментировал, что базовые оценки CVSS основаны на представленных CVE и спецификации CVSSv3, однако эти оценки могут нуждаться в уточнении с учётом контекста, использования, допустимого риска и моделей угроз на локальном уровне.