El Centro Nacional de Investigación en Ciberseguridad Aplicada
ATHENE de Alemania ha descubierto una falla crítica en el diseño de DNSSEC (las extensiones de
seguridad de DNS).
DNS es uno de los componentes fundamentales (más antiguos y vetustos) de
Internet. La falla de diseño tiene
consecuencias devastadoras para esencialmente todas las implementaciones de
DNS que validan DNSSEC y los proveedores de DNS públicos, como Google,
Cloudflare y Bind9.
Akamai señala que, según los datos de APNIC, aproximadamente el 35% de los usuarios de Internet con sede en EE.UU. y el 30 % de los usuarios de Internet en todo el mundo dependen de solucionadores de DNS que utilizan validación DNSSEC y, por lo tanto, son vulnerables. «Esta brecha de seguridad podría haber permitido a los atacantes causar importantes interrupciones en el funcionamiento de Internet, exponiendo un tercio de los servidores DNS en todo el mundo a un ataque de denegación de servicio (DoS) altamente eficiente y potencialmente impactando a más de mil millones de usuarios», dijo Akamai.
El DNS evolucionó hasta convertirse en un sistema fundamental en Internet que
sustenta una amplia gama de aplicaciones y facilita tecnologías nuevas y
emergentes. Mediciones recientes muestran que en diciembre de 2023, el 31,47%
de los clientes web en todo el mundo utilizaban solucionadores de DNS con
validación DNSSEC.
El equipo de ATHENE, dirigido por la Prof. Dra. Haya Schulmann de la
Universidad Goethe de Frankfurt, desarrolló
«KeyTrap» [PDF], una nueva clase de ataque: con un solo paquete DNS, los atacantes podrían
detener todas las implementaciones de DNS más utilizadas y los proveedores de
DNS públicos.
KeyTrap ha estado presente en el estándar DNSSEC durante más de dos décadas y fue descubierto por investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, junto con expertos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt.
La explotación de este ataque tendría graves consecuencias para cualquier
aplicación que utilice Internet, incluida la falta de disponibilidad de
tecnologías como la navegación web, el correo electrónico y la mensajería
instantánea.
Con KeyTrap, un atacante podría desactivar por completo gran parte de
Internet en todo el mundo.
Los investigadores trabajaron con todos los proveedores relevantes y los
principales proveedores de DNS públicos durante varios meses, lo que dio como
resultado una serie de parches específicos para cada proveedor, los últimos
publicados el martes 13 de febrero. Se recomienda encarecidamente que todos
los proveedores de servicios DNS apliquen estos parches inmediatamente para
mitigar esta vulnerabilidad crítica.
El equipo formado de investigadores de la Universidad Técnica de Darmstadt y
Fraunhofer SIT desarrolló una nueva clase de la llamada Complejidad
Algorítmica. Ataques, a los que denominaron «KeyTrap». Demostraron que con un
solo paquete DNS el ataque puede agotar la CPU y detener todas las
implementaciones de DNS ampliamente utilizadas y los proveedores de DNS
públicos, como Google Public DNS y Cloudflare.
De hecho, la popular implementación de DNS Bind9 puede permanecer detenida
hasta por 16 horas. Este efecto devastador llevó a los principales proveedores
de DNS a referirse a
KeyTrap como «el peor ataque al DNS jamás descubierto». El
impacto de los ataques KeyTrap es de gran alcance. Al explotar KeyTrap, los
atacantes pueden desactivar eficazmente el acceso a Internet en cualquier
sistema que utilice un solucionador de DNS con validación DNSSEC.
Los ataques KeyTrap afectan no sólo al DNS sino también a cualquier aplicación
que lo utilice. La falta de disponibilidad de DNS no solo puede impedir el
acceso al contenido, sino que también corre el riesgo de deshabilitar
mecanismos de seguridad, como defensas antispam, infraestructuras de clave
pública (PKI) o incluso seguridad de enrutamiento entre dominios como RPKI
(infraestructura de clave pública de recursos).
Los defectos no son recientes. Los requisitos de vulnerabilidad ya estaban
presentes en el obsoleto estándar de Internet RFC 2535 de 1999. Luego, en 2012
se abrió paso en los requisitos de implementación para la validación DNSSEC,
los estándares RFC 6781 y RFC 6840.
Las vulnerabilidades han estado activas desde al menos agosto de 2000 en
DNS Bind9 y se introdujeron en el código de DNS Unbound en agosto de 2007.
Aunque las vulnerabilidades han existido en el estándar durante
aproximadamente 25 años y en la naturaleza durante 24 años, la comunidad no
las ha notado.
Esto no es sorprendente, ya que la complejidad de los requisitos de validación
de DNSSEC dificultaba la identificación de las fallas. El
exploit requiere una combinación de una serie de requisitos, lo que
hizo que ni siquiera los expertos en DNS lo notaran.
La comunidad de seguridad tuvo experiencias similares con vulnerabilidades
mucho más simples, como Heartbleed o Log4j, que estaban ahí pero nadie podía
verlas y tardaron años en detectarlas y solucionarlas. DNS también ha sufrido varios problemas de diseño anteriores, como el fallo de Kaminsky, descubierto en 2008 y que permitía redirigir a un usuario a otra IP asociada a un dominio.
Desafortunadamente, a diferencia de estas vulnerabilidades, los fallos que identificó el equipo de ATHENE no son fáciles de
resolver, ya que están fundamentalmente arraigadas en la filosofía de diseño
de DNSSEC y no son simples errores de implementación de software.
Desde la divulgación inicial de las vulnerabilidades, el equipo ha estado
trabajando con los principales proveedores para mitigar los problemas en sus
implementaciones, pero parece que prevenir completamente los ataques requiere
reconsiderar fundamentalmente la filosofía de diseño subyacente de DNSSEC, es
decir, revisar DNSSEC. estándares.
En respuesta a la amenaza KeyTrap, Akamai desarrolló e implementó, entre diciembre de 2023 y febrero de 2024, mitigaciones para sus solucionadores recursivos DNSi, incluidos CacheServe y AnswerX, así como sus soluciones administradas y en la nube.
Los vectores de ataque explotados en KeyTrap están
registrados de forma general como CVE-2023-50387.
Daño significativo en una solicitud
Los investigadores explican que el problema surge del requisito de DNSSEC de enviar todas las claves criptográficas relevantes para los cifrados admitidos y las firmas correspondientes para que se realice la validación.
El proceso es el mismo incluso si algunas claves DNSSEC están mal configuradas, son incorrectas o pertenecen a cifrados que no son compatibles.
Aprovechando esta vulnerabilidad, los investigadores desarrollaron una nueva clase de ataques de complejidad algorítmica basados en DNSSEC que pueden aumentar en 2 millones de veces el recuento de instrucciones de la CPU en un solucionador de DNS, retrasando así su respuesta.
La duración de este estado DoS depende de la implementación del solucionador, pero los investigadores dicen que una sola solicitud de ataque puede mantener la respuesta desde 56 segundos hasta 16 horas.
Fuente:
Prleap
Los comentarios están cerrados.