DNS: Vulnerabilidad grave en la infraestructura de Internet.

El Centro Nacional de Investigación en Ciberseguridad Aplicada ATHENE ha descubierto una falla crítica en el diseño de DNSSEC, las Extensiones de Seguridad del DNS (Sistema de Nombres de Dominio).

DNS es uno de los componentes fundamentales de Internet. La falla de diseño tiene consecuencias devastadoras para esencialmente todas las implementaciones de DNS que validan DNSSEC y los proveedores de DNS públicos, como Google y Cloudflare. El equipo de ATHENE, desarrolló “KeyTrap”, una nueva clase de ataque: con un solo paquete DNS, los piratas informáticos podrían detener todas las implementaciones de DNS más utilizadas y los proveedores de DNS públicos.
La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea. Con KeyTrap, un atacante podría desactivar por completo gran parte de Internet en todo el mundo. Los investigadores trabajaron con todos los proveedores relevantes y los principales proveedores de DNS públicos durante varios meses, lo que dio como resultado una serie de parches específicos para cada proveedor, los últimos publicados el martes 13 de febrero. Se recomienda encarecidamente que todos los proveedores de servicios DNS apliquen estos parches, inmediatamente para mitigar esta vulnerabilidad crítica.

Este efecto devastador llevó a los principales proveedores de DNS a referirse a KeyTrap como “el peor ataque al DNS jamás descubierto”. El impacto de los ataques KeyTrap es de gran alcance. Al explotar KeyTrap, los atacantes pueden desactivar eficazmente el acceso a Internet en cualquier sistema que utilice un solucionador de DNS con validación DNSSEC.
Los vectores de ataque explotados en la clase de ataques KeyTrap están registrados en la base de datos de vulnerabilidades y exposiciones comunes (CVE) como un paraguas CVE-2023-50387.

El DNS evolucionó hasta convertirse en un sistema fundamental en Internet que sustenta una amplia gama de aplicaciones y facilita tecnologías nuevas y emergentes. Mediciones recientes muestran que en diciembre de 2023, el 31,47% de los clientes web en todo el mundo utilizaban solucionadores de DNS con validación DNSSEC. Por tanto, los ataques KeyTrap afectan no sólo al DNS sino también a cualquier aplicación que lo utilice. La falta de disponibilidad de DNS no solo puede impedir el acceso al contenido, sino que también corre el riesgo de deshabilitar mecanismos de seguridad, como defensas antispam, infraestructuras de clave pública (PKI) o incluso seguridad de enrutamiento entre dominios como RPKI (infraestructura de clave pública de recursos).

Los requisitos de vulnerabilidad ya estaban presentes en el obsoleto estándar de Internet RFC 2535 de 1999. En 2012, la vulnerabilidad se abrió paso en los requisitos de implementación para la validación DNSSEC, los estándares RFC 6781 y RFC 6840. Las vulnerabilidades han estado activas desde al menos agosto de 2000. en el solucionador de DNS Bind9 y se introdujeron en el código del solucionador de DNS Unbound en agosto de 2007. Aunque las vulnerabilidades han existido en el estándar durante aproximadamente 25 años y en la naturaleza durante 24 años, la comunidad no las ha notado.

Esto no es sorprendente, ya que la complejidad de los requisitos de validación de DNSSEC dificultaba la identificación de las fallas. El exploit requiere una combinación de una serie de requisitos, lo que hizo que ni siquiera los expertos en DNS lo notaran. La comunidad de seguridad tuvo experiencias similares con vulnerabilidades mucho más simples, como Heartbleed o Log4j, que estaban ahí pero nadie podía verlas y tardaron años en detectarlas y solucionarlas. Desafortunadamente, a diferencia de estas vulnerabilidades, las vulnerabilidades que identificó el equipo de ATHENE no son fáciles de resolver, ya que están fundamentalmente arraigadas en la filosofía de diseño de DNSSEC y no son simples errores de implementación de software.

El Centro Nacional de Investigación en Ciberseguridad Aplicada ATHENE es un centro de investigación de Fraunhofer-Gesellschaft que reúne a los Institutos Fraunhofer para Tecnología de la Información Segura (SIT) y para la Investigación de Gráficos por Computadora (IGD), la Universidad Técnica de Darmstadt, la Universidad Goethe de Frankfurt y la Universidad de Darmstadt. de Ciencias Aplicadas. Con más de 600 científicos, ATHENE es el centro de investigación en ciberseguridad más grande de Europa y la principal institución de investigación científica de Alemania en este ámbito.

Información de contacta: https://www.athene-center.de/en/

Fuente: Prleap.com

#cybersecurity #vulnerability #ciberataque #DNS