El Centro Nacional de Investigación en Ciberseguridad Aplicada ATHENE de Alemania ha descubierto una falla crítica en el diseño de DNSSEC (las extensiones de seguridad de DNS).
DNS es uno de los componentes fundamentales (más antiguos y vetustos) de Internet. La falla de diseño tiene consecuencias devastadoras para esencialmente todas las implementaciones de DNS que validan DNSSEC y los proveedores de DNS públicos, como Google, Cloudflare y Bind9.
Akamai señala que, según los datos de APNIC, aproximadamente el 35% de los usuarios de Internet con sede en EE.UU. y el 30 % de los usuarios de Internet en todo el mundo dependen de solucionadores de DNS que utilizan validación DNSSEC y, por lo tanto, son vulnerables. «Esta brecha de seguridad podría haber permitido a los atacantes causar importantes interrupciones en el funcionamiento de Internet, exponiendo un tercio de los servidores DNS en todo el mundo a un ataque de denegación de servicio (DoS) altamente eficiente y potencialmente impactando a más de mil millones de usuarios», dijo Akamai.
El DNS evolucionó hasta convertirse en un sistema fundamental en Internet que sustenta una amplia gama de aplicaciones y facilita tecnologías nuevas y emergentes. Mediciones recientes muestran que en diciembre de 2023, el 31,47% de los clientes web en todo el mundo utilizaban solucionadores de DNS con validación DNSSEC.
El equipo de ATHENE, dirigido por la Prof. Dra. Haya Schulmann de la Universidad Goethe de Frankfurt, desarrolló «KeyTrap» [PDF], una nueva clase de ataque: con un solo paquete DNS, los atacantes podrían detener todas las implementaciones de DNS más utilizadas y los proveedores de DNS públicos.
KeyTrap ha estado presente en el estándar DNSSEC durante más de dos décadas y fue descubierto por investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, junto con expertos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt.
La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea.
Con KeyTrap, un atacante podría desactivar por completo gran parte de Internet en todo el mundo. Los investigadores trabajaron con todos los proveedores relevantes y los principales proveedores de DNS públicos durante varios meses, lo que dio como resultado una serie de parches específicos para cada proveedor, los últimos publicados el martes 13 de febrero. Se recomienda encarecidamente que todos los proveedores de servicios DNS apliquen estos parches inmediatamente para mitigar esta vulnerabilidad crítica.
El equipo formado de investigadores de la Universidad Técnica de Darmstadt y Fraunhofer SIT desarrolló una nueva clase de la llamada Complejidad Algorítmica. Ataques, a los que denominaron «KeyTrap». Demostraron que con un solo paquete DNS el ataque puede agotar la CPU y detener todas las implementaciones de DNS ampliamente utilizadas y los proveedores de DNS públicos, como Google Public DNS y Cloudflare.
De hecho, la popular implementación de DNS Bind9 puede permanecer detenida hasta por 16 horas. Este efecto devastador llevó a los principales proveedores de DNS a referirse a KeyTrap como «el peor ataque al DNS jamás descubierto». El impacto de los ataques KeyTrap es de gran alcance. Al explotar KeyTrap, los atacantes pueden desactivar eficazmente el acceso a Internet en cualquier sistema que utilice un solucionador de DNS con validación DNSSEC.
Los ataques KeyTrap afectan no sólo al DNS sino también a cualquier aplicación que lo utilice. La falta de disponibilidad de DNS no solo puede impedir el acceso al contenido, sino que también corre el riesgo de deshabilitar mecanismos de seguridad, como defensas antispam, infraestructuras de clave pública (PKI) o incluso seguridad de enrutamiento entre dominios como RPKI (infraestructura de clave pública de recursos).
Los defectos no son recientes. Los requisitos de vulnerabilidad ya estaban presentes en el obsoleto estándar de Internet RFC 2535 de 1999. Luego, en 2012 se abrió paso en los requisitos de implementación para la validación DNSSEC, los estándares RFC 6781 y RFC 6840.
Las vulnerabilidades han estado activas desde al menos agosto de 2000 en DNS Bind9 y se introdujeron en el código de DNS Unbound en agosto de 2007. Aunque las vulnerabilidades han existido en el estándar durante aproximadamente 25 años y en la naturaleza durante 24 años, la comunidad no las ha notado.
Esto no es sorprendente, ya que la complejidad de los requisitos de validación de DNSSEC dificultaba la identificación de las fallas. El exploit requiere una combinación de una serie de requisitos, lo que hizo que ni siquiera los expertos en DNS lo notaran.
La comunidad de seguridad tuvo experiencias similares con vulnerabilidades mucho más simples, como Heartbleed o Log4j, que estaban ahí pero nadie podía verlas y tardaron años en detectarlas y solucionarlas. DNS también ha sufrido varios problemas de diseño anteriores, como el fallo de Kaminsky, descubierto en 2008 y que permitía redirigir a un usuario a otra IP asociada a un dominio.
Desafortunadamente, a diferencia de estas vulnerabilidades, los fallos que identificó el equipo de ATHENE no son fáciles de resolver, ya que están fundamentalmente arraigadas en la filosofía de diseño de DNSSEC y no son simples errores de implementación de software.
Desde la divulgación inicial de las vulnerabilidades, el equipo ha estado trabajando con los principales proveedores para mitigar los problemas en sus implementaciones, pero parece que prevenir completamente los ataques requiere reconsiderar fundamentalmente la filosofía de diseño subyacente de DNSSEC, es decir, revisar DNSSEC. estándares.
En respuesta a la amenaza KeyTrap, Akamai desarrolló e implementó, entre diciembre de 2023 y febrero de 2024, mitigaciones para sus solucionadores recursivos DNSi, incluidos CacheServe y AnswerX, así como sus soluciones administradas y en la nube.
Los vectores de ataque explotados en KeyTrap están registrados de forma general como CVE-2023-50387.
Daño significativo en una solicitud
Los investigadores explican que el problema surge del requisito de DNSSEC de enviar todas las claves criptográficas relevantes para los cifrados admitidos y las firmas correspondientes para que se realice la validación.
El proceso es el mismo incluso si algunas claves DNSSEC están mal configuradas, son incorrectas o pertenecen a cifrados que no son compatibles.
Aprovechando esta vulnerabilidad, los investigadores desarrollaron una nueva clase de ataques de complejidad algorítmica basados en DNSSEC que pueden aumentar en 2 millones de veces el recuento de instrucciones de la CPU en un solucionador de DNS, retrasando así su respuesta.
La duración de este estado DoS depende de la implementación del solucionador, pero los investigadores dicen que una sola solicitud de ataque puede mantener la respuesta desde 56 segundos hasta 16 horas.
Fuente y redacción: segu-info.com.ar