Новости Шульман против MITRE: уязвимости DNSSEC неравнозначны по своему ущербу

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Ошибочное приравнивание критичности угроз вызвало недовольство исследователей.


kv93maycp49jr5watzf4muzom9ogj8sq.jpg


В прошлом месяце были обнародованы две уязвимости DNSSEC с похожими описаниями и одинаковой оценкой серьёзности. Многие администраторы тогда могли подумать, что это одна и та же проблема, но на самом деле это две абсолютно разные уязвимости. Далее рассмотрим их отличия подробнее.

Одна из уязвимостей, получившая название KeyTrap ( Для просмотра ссылки Войди или Зарегистрируйся ) и выявленная Национальным исследовательским центром прикладной кибербезопасности Германии (ATHENE), была описана исполнительным директором Akamai Сведом Думмером как «одна из худших, когда-либо обнаруженных», так как её можно было использовать для отключения больших участков Интернета.

Уязвимость позволяет всего одному DNS -пакету прерывать обслуживание, исчерпывая ресурсы ЦП машин, работающих с DNSSEC-проверенными сервисами, такими как те, что предоставляются Google и Cloudflare.

Вторая уязвимость DNSSEC, озаглавленная NSEC3 ( Для просмотра ссылки Войди или Зарегистрируйся ), была найдена Петром Шпачеком из Internet Systems Consortium (ISC) и также была обозначена как исчерпывающая ресурсы ЦП. Однако, согласно анализу, проведённому командой ATHENE, она оказалась в значительной степени менее опасной.

Обе уязвимости получили оценку серьёзности 7,5 из 10 по системе оценки уязвимостей CVSS от некоммерческой организации безопасности MITRE .

Для просмотра ссылки Войди или Зарегистрируйся профессор информатики Франкфуртского университета им. Гёте, участвовавшая в исследовании KeyTrap, Для просмотра ссылки Войди или Зарегистрируйся что эти две уязвимости несопоставимы по степени серьёзности. По её словам, эксперименты показывают, что с уязвимостью NSEC3 на практике невозможно провести DoS-атаку путём исчерпания ресурсов ЦП.

Шульман утверждает, что оценка MITRE, которая назначила эти CVE, противоречит процессам, установленным Национальным институтом стандартов и технологий ( NIST ), требующим от аналитиков использовать любую доступную информацию для установления степени серьёзности уязвимости.

Шульман призывает MITRE и другие организации, занимающиеся распространением информации об уязвимостях, быть более точными в своих оценках, даже если это вызовет недовольство поставщиков.

Отсутствие прозрачности и опора на «предпочтительную перспективу» могут не только подорвать доверие между участниками, но и нанести ущерб общей безопасности, добавила Шульман.

После выхода материала NIST прокомментировал, что базовые оценки CVSS основаны на представленных CVE и спецификации CVSSv3, однако эти оценки могут нуждаться в уточнении с учётом контекста, использования, допустимого риска и моделей угроз на локальном уровне.
 
Источник новости
www.securitylab.ru

Похожие темы