KeyTrap: come una singola richiesta DNS può disabilitare l’accesso a Internet

di Redazione Pubblicato: 19/02/2024

scritto da Redazione Pubblicato: 19/02/2024 0 commenti

aldebaran33 domain name system attack 49fd92b3 bbae 4ab3 afdf 4fe87a549fd3

Una vulnerabilità critica chiamata KeyTrap, che affligge la funzionalità Domain Name System Security Extensions (DNSSEC), può essere sfruttata per negare l’accesso a Internet alle applicazioni per un periodo prolungato tramite l’invio di un singolo pacchetto DNS. Identificata come CVE-2023-50387, questa vulnerabilità di design impatta tutte le principali implementazioni o servizi del Domain Name System (DNS) e permette a un attaccante remoto di causare una condizione di denial-of-service (DoS) di lunga durata nei resolver vulnerabili.

DNSSEC, che introduce firme crittografiche nei record DNS fornendo autenticazione alle risposte, garantisce che i dati DNS provengano dalla sorgente originale, il server di nomi autorevole, e non siano stati modificati durante il trasporto. Tuttavia, KeyTrap sfrutta una problematica nella standardizzazione di DNSSEC, presente da oltre due decenni, che richiede l’invio di tutte le chiavi crittografiche rilevanti e le relative firme per la validazione, anche in caso di configurazioni errate o cifrari non supportati.

I ricercatori hanno sviluppato una nuova classe di attacchi basati su DNSSEC che possono aumentare il numero di istruzioni CPU in un resolver DNS di 2 milioni di volte, ritardandone la risposta. La durata dello stato DoS dipende dall’implementazione del resolver, ma una singola richiesta di attacco può mantenere la risposta sospesa da 56 secondi fino a 16 ore.

L’esposizione di questa vulnerabilità potrebbe avere conseguenze gravi per qualsiasi applicazione che utilizza Internet, inclusi la navigazione web, l’email e la messaggistica istantanea, disabilitando potenzialmente ampie parti dell’Internet globale. I dettagli completi sulla vulnerabilità e il suo impatto sulle moderne implementazioni DNS sono disponibili in un rapporto tecnico pubblicato dai ricercatori.

KeyTrap: come una singola richiesta DNS può disabilitare l'accesso a Internet 18

Nonostante i fornitori interessati abbiano già implementato correzioni o stiano lavorando a mitigazioni per il rischio KeyTrap, leggi qui la relazione di Athene, affrontare il problema a un livello fondamentale potrebbe richiedere una rivalutazione della filosofia di design di DNSSEC.

Potrebbe interessarti anche

Crypto 2026 tra drainer wallet EVM, accumulazioni di riserve e strategie statali tra regolazione e Bitcoin

Pubblicato: 02/01/2026
Crepa nel sistema mediatico tra Corona, Google e piattaforme che decidono chi esiste – NEWSLETTER

Pubblicato: 27/12/2025
Divieto FCC sui droni stranieri: USA blindano lo spazio aereo per sicurezza nazionale

Pubblicato: 23/12/2025
Vulnerabilità WhatsApp tra hijacking account e scraping di massa dei dati

Pubblicato: 22/12/2025
Limes, Corona e Musk: quando l’analisi diventa un bersaglio … nel 2025 – NEWSLETTER

Pubblicato: 21/12/2025
Zero Trust: Guida definitiva al modello di sicurezza “Never Trust, Always Verify”

Pubblicato: 15/12/2025

Redazione

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.