Шульман против MITRE: уязвимости DNSSEC неравнозначны по своему ущербу

В прошлом месяце были обнародованы две уязвимости DNSSEC с похожими описаниями и одинаковой оценкой серьёзности. Многие администраторы тогда могли подумать, что это одна и та же проблема, но на самом деле это две абсолютно разные уязвимости. Далее рассмотрим их отличия подробнее.

Одна из уязвимостей, получившая название KeyTrap ( CVE-2023-50387 ) и выявленная Национальным исследовательским центром прикладной кибербезопасности Германии (ATHENE), была описана исполнительным директором Akamai Сведом Думмером как «одна из худших, когда-либо обнаруженных», так как её можно было использовать для отключения больших участков Интернета.

Уязвимость позволяет всего одному DNS-пакету прерывать обслуживание, исчерпывая ресурсы ЦП машин, работающих с DNSSEC-проверенными сервисами, такими как те, что предоставляются Google и Cloudflare.

Вторая уязвимость DNSSEC, озаглавленная NSEC3 ( CVE-2023-50868 ), была найдена Петром Шпачеком из Internet Systems Consortium (ISC) и также была обозначена как исчерпывающая ресурсы ЦП. Однако, согласно анализу, проведённому командой ATHENE, она оказалась в значительной степени менее опасной.

Обе уязвимости получили оценку серьёзности 7,5 из 10 по системе оценки уязвимостей CVSS от некоммерческой организации безопасности MITRE.

Хая Шульман, профессор информатики Франкфуртского университета им. Гёте, участвовавшая в исследовании KeyTrap, считает, что эти две уязвимости несопоставимы по степени серьёзности. По её словам, эксперименты показывают, что с уязвимостью NSEC3 на практике невозможно провести DoS-атаку путём исчерпания ресурсов ЦП.

Шульман утверждает, что оценка MITRE, которая назначила эти CVE, противоречит процессам, установленным Национальным институтом стандартов и технологий (NIST), требующим от аналитиков использовать любую доступную информацию для установления степени серьёзности уязвимости.

Шульман призывает MITRE и другие организации, занимающиеся распространением информации об уязвимостях, быть более точными в своих оценках, даже если это вызовет недовольство поставщиков.

Отсутствие прозрачности и опора на «предпочтительную перспективу» могут не только подорвать доверие между участниками, но и нанести ущерб общей безопасности, добавила Шульман.

После выхода материала NIST прокомментировал, что базовые оценки CVSS основаны на представленных CVE и спецификации CVSSv3, однако эти оценки могут нуждаться в уточнении с учётом контекста, использования, допустимого риска и моделей угроз на локальном уровне.