Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado.
Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS).
Permite a un atacante remoto provocar una condición de denegación de servicio (DoS) duradera en resolutores vulnerables mediante el envío de un único paquete DNS.
DNS es lo que nos permite a los humanos acceder a ubicaciones en línea escribiendo nombres de dominio en lugar de la dirección IP del servidor al que nuestra computadora necesita conectarse.
DNSSEC es una característica del DNS que incorpora firmas criptográficas a los registros DNS, proporcionando así autenticación a las respuestas; esta verificación garantiza que los datos DNS provengan de la fuente, su servidor de nombres autorizado, y que no hayan sido modificados para dirigirlo a una ubicación maliciosa.
Daño Significativo en una Solicitud de Ataque
KeyTrap ha estado presente en el estándar DNSSEC durante más de dos décadas y fue descubierto por investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, junto con expertos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt.
Los investigadores explican que el problema surge del requisito de DNSSEC de enviar todas las claves criptográficas relevantes para los cifrados admitidos y las firmas correspondientes para que se realice la validación.
El proceso es el mismo incluso si algunas claves DNSSEC están mal configuradas, son incorrectas o pertenecen a cifrados que no son compatibles.
Aprovechando esta vulnerabilidad, los investigadores desarrollaron una nueva clase de ataques de complejidad algorítmica basados en DNSSEC que pueden aumentar en 2 millones de veces el recuento de instrucciones de la CPU en un solucionador de DNS, retrasando así su respuesta.
La duración de este estado DoS depende de la implementación del solucionador, pero los investigadores dicen que una sola solicitud de ataque puede mantener la respuesta desde 56 segundos hasta 16 horas.
Los detalles completos sobre la vulnerabilidad y cómo puede manifestarse en implementaciones DNS modernas se pueden encontrar en un informe técnico publicado a principios de esta semana.
Los investigadores han demostrado cómo su ataque KeyTrap puede afectar a los proveedores de servicios DNS, como Google y Cloudflare, desde principios de noviembre de 2023 y trabajaron con ellos para desarrollar mitigaciones.
ATHENE dice que KeyTrap ha estado presente en estándares ampliamente utilizados desde 1999, por lo que pasó desapercibido durante casi 25 años, principalmente debido a la complejidad de los requisitos de validación de DNSSEC.
Aunque los proveedores afectados ya han impulsado soluciones o están en el proceso de mitigar el riesgo de KeyTrap, ATHENE afirma que abordar el problema a un nivel fundamental puede requerir una reevaluación de la filosofía de diseño de DNSSEC.
En respuesta a la amenaza KeyTrap, Akamai desarrolló e implementó , entre diciembre de 2023 y febrero de 2024, mitigaciones para sus solucionadores recursivos DNSi, incluidos CacheServe y AnswerX, así como sus soluciones administradas y en la nube.
Akamai señala que, según los datos de APNIC, aproximadamente el 35 % de los usuarios de Internet con sede en EE. UU. y el 30 % de los usuarios de Internet en todo el mundo dependen de solucionadores de DNS que utilizan validación DNSSEC y, por lo tanto, son vulnerables a KeyTrap.
Aunque la compañía de Internet no compartió muchos detalles sobre las mitigaciones reales que implementó, el documento de ATHENE describe que la solución de Akamai limita los fallos criptográficos a un máximo de 32, lo que hace prácticamente imposible agotar los recursos de la CPU y provocar estancamiento.
Las correcciones ya están presentes en los servicios DNS de Google y Cloudflare.