Ataque KeyTrap: acceso a Internet interrumpido con un paquete DNS

Una vulnerabilidad grave llamada KeyTrap en la función de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado.

Rastreado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del Sistema de nombres de dominio (DNS).

Permite a un atacante remoto causar una condición de denegación de servicio (DoS) de larga duración en solucionadores vulnerables mediante el envío de un solo paquete DNS.

DNS es lo que nos permite a los humanos acceder a ubicaciones en línea escribiendo nombres de dominio en lugar de la dirección IP del servidor al que nuestra computadora necesita conectarse.

DNSSEC es una característica del DNS que aporta firmas criptográficas a los registros DNS, proporcionando así autenticación a las respuestas; esta verificación garantiza que los datos DNS provengan de la fuente, su servidor de nombres autorizado y no se hayan modificado en el camino para enrutarlo a una ubicación maliciosa.

Daño significativo en una solicitud de ataque

KeyTrap ha estado presente en el estándar DNSSEC durante más de dos décadas, y fue descubierto por investigadores del Centro Nacional de Investigación para la Ciberseguridad Aplicada ATHENE, junto con expertos de la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt.

Los investigadores explican que el problema se deriva del requisito de DNSSEC de enviar todas las claves criptográficas relevantes para los cifrados compatibles y las firmas correspondientes para que se produzca la validación.

El proceso es el mismo incluso si algunas claves DNSSEC están mal configuradas, son incorrectas o pertenecen a cifrados que no son compatibles.

Al aprovechar esta vulnerabilidad, los investigadores desarrollaron una nueva clase de ataques de complejidad algorítmica basados en DNSSEC que pueden aumentar en 2 millones de veces el recuento de instrucciones de la CPU en un solucionador de DNS, retrasando así su respuesta.

La duración de este estado DoS depende de la implementación de la resolución, pero los investigadores dicen que una sola solicitud de ataque puede contener la respuesta desde 56 segundos hasta 16 horas.


"La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea", se lee en la divulgación de ATHENE.

"Con KeyTrap, un atacante podría desactivar por completo grandes partes de Internet en todo el mundo", dicen los investigadores.

Los detalles completos sobre la vulnerabilidad y cómo puede manifestarse en las implementaciones modernas de DNS se pueden encontrar en un informe técnico publicado a principios de esta semana.

Los investigadores han demostrado cómo su ataque KeyTrap puede afectar a los proveedores de servicios DNS, como Google y Cloudflare, desde principios de noviembre de 2023 y han trabajado con ellos para desarrollar mitigaciones.


ATHENE dice que KeyTrap ha estado presente en estándares ampliamente utilizados desde 1999, por lo que pasó desapercibido durante casi 25 años, principalmente debido a la complejidad de los requisitos de validación de DNSSEC.

Aunque los proveedores afectados ya han impulsado correcciones o están en proceso de mitigar el riesgo de KeyTrap, ATHENE afirma que abordar el problema a un nivel fundamental puede requerir una reevaluación de la filosofía de diseño de DNSSEC.

En respuesta a la amenaza de KeyTrap, Akamai desarrolló e implementó, entre diciembre de 2023 y febrero de 2024, mitigaciones para sus solucionadores recursivos de DNSi, incluidos CacheServe y AnswerX, así como sus soluciones gestionadas y en la nube.


Akamai señala que, según los datos de APNIC, aproximadamente el 35 % de los usuarios de EE. UU. y el 30 % de los usuarios de Internet en todo el mundo confían en los solucionadores de DNS que utilizan la validación de DNSSEC y, por lo tanto, son vulnerables a KeyTrap.

Aunque la compañía de Internet no compartió muchos detalles sobre las mitigaciones reales que implementó, el documento de ATHENE describe la solución de Akamai como limitar las fallas criptográficas a un máximo de 32, lo que hace que sea prácticamente imposible agotar los recursos de la CPU y causar estancamientos.

Las correcciones ya están presentes en los servicios DNS de Google y Cloudflare.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta