KeyTrap può negare accesso a Internet con un pacchetto DNS

Una grave vulnerabilità denominata KeyTrap nella funzionalità DNSSEC (Domain Name System Security Extensions) permette di negare l'accesso a Internet alle applicazioni per un periodo prolungato. Classificato come CVE-2023-50387, KeyTrap è un problema di progettazione in DNSSEC e influisce su tutte le implementazioni o servizi DNS (Domain Name System) più diffusi. Può essere sfruttato da remoto e potrebbe una condizione di negazione del servizio (DoS) di lunga durata nei risolutori vulnerabili inviando un singolo pacchetto DNS. DNSSEC è una funzionalità del DNS che apporta firme crittografiche ai record DNS, fornendo così l'autenticazione alle risposte. Questa verifica garantisce che i dati DNS provengano dalla fonte, dal suo name server ufficiale, e non siano stati modificati nel percorso per indirizzarti verso una posizione dannosa.

KeyTrap: bug capace di disabilitare gran parte della rete Internet mondiale

KeyTrap è presente nello standard DNSSEC da oltre due decenni. È stato scoperto dai ricercatori del National Research Center for Applied Cybersecurity ATHENE, insieme ad esperti dell'Università Goethe di Francoforte, del Fraunhofer SIT e dell'Università di Darmstadt. Secondo i ricercatori, il problema deriva dal requisito di DNSSEC di inviare tutte le chiavi crittografiche rilevanti per le cifre supportate e le firme corrispondenti affinché avvenga la convalida. Il processo è lo stesso anche se alcune chiavi DNSSEC sono configurate in modo errato o appartengono a cifre non supportate. Sfruttando questa vulnerabilità, i ricercatori hanno sviluppato una nuova classe di attacchi di complessità algoritmica basati su DNSSEC. Questa può aumentare di 2 milioni di volte il conteggio delle istruzioni della CPU in un risolutore DNS, ritardandone così la risposta.

La durata di questo stato DoS dipende dall'implementazione del risolutore. Tuttavia, i ricercatori affermano che una singola richiesta di attacco può contenere la risposta da 56 secondi fino a 16 ore. Come riportato sul sito ufficiale di ATHENE: “lo sfruttamento di questo attacco avrebbe gravi conseguenze per qualsiasi applicazione che utilizza Internet. Ciò include anche la navigazione web, la posta elettronica e la messaggistica istantanea. Con KeyTrap un utente malintenzionato potrebbe disabilitare completamente gran parte della rete Internet mondiale”. I ricercatori hanno dimostrato come il loro attacco KeyTrap possa avere avuto un impatto sui fornitori di servizi DNS, come Google e Cloudflare, dall’inizio di novembre 2023.  Alcuni fornitori interessati hanno già trovato soluzioni o siano in procinto di mitigare il rischio KeyTrap. Tuttavia, ATHENE afferma che affrontare il problema a un livello fondamentale potrebbe richiedere una rivalutazione della filosofia di progettazione DNSSEC.