Una vulnerabilità critica chiamata KeyTrap, che affligge la funzionalità Domain Name System Security Extensions (DNSSEC), può essere sfruttata per negare l’accesso a Internet alle applicazioni per un periodo prolungato tramite l’invio di un singolo pacchetto DNS. Identificata come CVE-2023-50387, questa vulnerabilità di design impatta tutte le principali implementazioni o servizi del Domain Name System (DNS) e permette a un attaccante remoto di causare una condizione di denial-of-service (DoS) di lunga durata nei resolver vulnerabili.
DNSSEC, che introduce firme crittografiche nei record DNS fornendo autenticazione alle risposte, garantisce che i dati DNS provengano dalla sorgente originale, il server di nomi autorevole, e non siano stati modificati durante il trasporto. Tuttavia, KeyTrap sfrutta una problematica nella standardizzazione di DNSSEC, presente da oltre due decenni, che richiede l’invio di tutte le chiavi crittografiche rilevanti e le relative firme per la validazione, anche in caso di configurazioni errate o cifrari non supportati.
I ricercatori hanno sviluppato una nuova classe di attacchi basati su DNSSEC che possono aumentare il numero di istruzioni CPU in un resolver DNS di 2 milioni di volte, ritardandone la risposta. La durata dello stato DoS dipende dall’implementazione del resolver, ma una singola richiesta di attacco può mantenere la risposta sospesa da 56 secondi fino a 16 ore.
L’esposizione di questa vulnerabilità potrebbe avere conseguenze gravi per qualsiasi applicazione che utilizza Internet, inclusi la navigazione web, l’email e la messaggistica istantanea, disabilitando potenzialmente ampie parti dell’Internet globale. I dettagli completi sulla vulnerabilità e il suo impatto sulle moderne implementazioni DNS sono disponibili in un rapporto tecnico pubblicato dai ricercatori.
Nonostante i fornitori interessati abbiano già implementato correzioni o stiano lavorando a mitigazioni per il rischio KeyTrap, leggi qui la relazione di Athene, affrontare il problema a un livello fondamentale potrebbe richiedere una rivalutazione della filosofia di design di DNSSEC.