Può una singola richiesta DNS mettere in ginocchio un’intera rete Internet? A quanto pare sì. Infatti, è emersa ultimamente una grave vulnerabilità denominata KeyTrap nella funzionalità DNSSEC (Domain Name System Security Extensions), che potrebbe essere sfruttata per negare l’accesso a Internet alle applicazioni per un periodo prolungato.
Per i meno esperti, il DNS (Domain Name Service) è quel servizio che permette di tradurre un nome di dominio nell’indirizzo IP a cui è associato, permettendo al dispositivo di rete di connettersi al dominio digitando esclusivamente il nome della pagina web anziché l’IP (difficile da ricordare in molti casi). DNSSEC è una funzionalità del DNS che apporta firme crittografiche ai record DNS, fornendo così l’autenticazione alle risposte. Tale verifica garantisce che i dati DNS provengano da una fonte autorevole, e non siano stati modificati nel percorso per indirizzare l’utente verso una posizione dannosa.
Classificato come CVE-2023-50387, KeyTrap è un problema di progettazione in DNSSEC e influisce su tutte le implementazioni o servizi DNS (Domain Name System) più diffusi. Consente a un utente malintenzionato connesso in remoto di causare una condizione di negazione del servizio (DoS) di lunga durata inviando un singolo pacchetto DNS.
Questo problema è rimasto irrisolto per oltre 25 anni ed è stato individuato dai ricercatori del National Research Center for Applied Cybersecurity ATHENE, insieme ad esperti in sicurezza dell’Università Goethe di Francoforte, del Fraunhofer SIT e dell’Università tecnica di Darmstadt. I ricercatori spiegano che il problema deriva dal requisito di DNSSEC di inviare tutte le chiavi crittografiche rilevanti per le cifre supportate e le firme corrispondenti affinché avvenga la convalida. Il processo è lo stesso anche se alcune chiavi DNSSEC sono configurate in modo errato, dunque sfruttando questa vulnerabilità i ricercatori hanno sviluppato una nuova classe di attacchi di complessità algoritmica basati su DNSSEC che possono aumentare di 2 milioni di volte il conteggio delle istruzioni della CPU in un risolutore DNS, ritardandone così la risposta e generando l’effetto DoS.
Sebbene i fornitori interessati abbiano già fornito soluzioni o siano in procinto di mitigare il rischio KeyTrap, ATHENE afferma che affrontare il problema a un livello fondamentale potrebbe richiedere una rivalutazione della filosofia di progettazione DNSSEC.
I dettagli completi sulla vulnerabilità e su come può manifestarsi sulle moderne implementazioni DNS possono essere trovati in un rapporto tecnico pubblicato all’inizio di questa settimana.