Ataque KeyTrap: Acesso à internet interrompido com um pacote DNS
19 de Fevereiro de 2024

Uma séria vulnerabilidade chamada KeyTrap no recurso de Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) pode ser explorada para negar o acesso à internet a aplicativos por um longo período.

Rastreada como CVE-2023-50387 , KeyTrap é um problema de design no DNSSEC e afeta todas as implementações ou serviços populares do Sistema de Nomes de Domínio (DNS).

Ele permite que um invasor remoto cause uma condição duradoura de negação de serviço (DoS) em resolvedores vulneráveis, enviando um único pacote DNS.

O DNS é o que nos permite acessar locais online digitando nomes de domínio em vez do endereço IP do servidor ao qual nosso computador precisa se conectar.

O DNSSEC é um recurso do DNS que traz assinaturas criptográficas para os registros do DNS, proporcionando autenticação às respostas; essa verificação garante que os dados do DNS venham da fonte, seu servidor de nome autoritativo, e não tenham sido modificados no caminho para direcioná-lo a um local malicioso.

KeyTrap está presente no padrão DNSSEC há mais de duas décadas e foi descoberto por pesquisadores do Centro Nacional de Pesquisa para Cibersegurança Aplicada ATHENE, juntamente com especialistas da Universidade de Frankfurt Goethe, Fraunhofer SIT e Universidade Técnica de Darmstadt.

Os pesquisadores explicam que o problema resulta da exigência do DNSSEC de enviar todas as chaves criptográficas relevantes para cifras suportadas e as assinaturas correspondentes para a validação ocorrer.

O processo é o mesmo mesmo que algumas chaves do DNSSEC estejam configuradas incorretamente, estejam incorretas ou pertençam a cifras que não são suportadas.

Aproveitando-se dessa vulnerabilidade, os pesquisadores desenvolveram uma nova classe de ataques de complexidade algorítmica baseados em DNSSEC que podem aumentar em 2 milhões de vezes a contagem de instruções de CPU em um resolvedor DNS, retardando assim sua resposta.

A duração deste estado de DoS depende da implementação do resolvedor, mas os pesquisadores dizem que um único pedido de ataque pode segurar a resposta de 56 segundos até 16 horas.

"A exploração desse ataque teria graves consequências para qualquer aplicativo que use a Internet, incluindo indisponibilidade de tecnologias como navegação na web, e-mail e mensagens instantâneas", lê-se na divulgação da ATHENE.

"Com KeyTrap, um invasor poderia desabilitar completamente grandes partes da internet mundial", dizem os pesquisadores.

Detalhes completos sobre a vulnerabilidade e como ela pode se manifestar nas implementações modernas de DNS podem ser encontrados em um relatório técnico publicado no início desta semana.

Os pesquisadores mostraram como seu ataque KeyTrap pode afetar os provedores de serviço DNS, como Google e Cloudflare, desde o início de novembro de 2023 e trabalharam com eles para desenvolver mitigadores.

ATHENE diz que KeyTrap está presente em padrões amplamente usados desde 1999, então passou despercebida por quase 25 anos, principalmente por causa da complexidade dos requisitos de validação do DNSSEC.

Embora os fornecedores impactados já tenham lançado correções ou estejam no processo de mitigar o risco do KeyTrap, ATHENE afirma que resolver o problema em um nível fundamental pode exigir uma reavaliação da filosofia de design do DNSSEC.

Em resposta à ameaça KeyTrap, a Akamai desenvolveu e implantou, entre dezembro de 2023 e fevereiro de 2024, mitigadores para seus resolvedores recursivos DNSi, incluindo CacheServe e AnswerX, bem como suas soluções gerenciadas e em nuvem.

A Akamai observa que, com base nos dados da APNIC, aproximadamente 35% dos usuários de internet baseados nos EUA e 30% dos usuários de internet em todo o mundo dependem de resolvedores DNS que usam validação DNSSEC e, portanto, estão vulneráveis ao KeyTrap.

Embora a empresa de internet não tenha compartilhado muitos detalhes sobre as reais mitigatórias que implementou, o artigo do ATHENE descreve a solução da Akamai como limitando as falhas criptográficas a um máximo de 32, tornando praticamente impossível esgotar os recursos da CPU e causar paralisação.

Correções já estão presentes nos serviços DNS do Google e da Cloudflare.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...