Especialistas do Centro Nacional Alemão de Pesquisa para Segurança Cibernética Aplicada ATHENE relataram a descoberta de uma vulnerabilidade perigosa no mecanismo DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio), um conjunto de extensões de protocolo DNS. A falha teoricamente permite desabilitar o servidor DNS realizando um ataque DoS.
O estudo envolveu funcionários da Universidade Johann Wolfgang Goethe de Frankfurt, do Instituto Fraunhofer de Tecnologia de Segurança da Informação (Fraunhofer SIT) e da Universidade Técnica de Darmstadt.
Imagem Fonte: Pixabay.com
As extensões DNSSEC são projetadas para mitigar ataques de falsificação de IP ao processar nomes de domínio. A tecnologia visa garantir a confiabilidade e integridade dos dados. O princípio de funcionamento do DNSSEC baseia-se na utilização de assinaturas digitais, enquanto o mecanismo em si não encripta os dados nem altera a sua gestão.
A vulnerabilidade descoberta foi chamada KeyTrap, ou CVE-2023-50387: recebeu uma classificação de perigo CVSS de 7,5 em 10. O ataque visa o resolvedor DNS. O envio de um pacote de dados especialmente criado faz com que o resolvedor DNS que usa DNSSEC comece a realizar uma enorme quantidade de cálculos criptográficos que consomem muitos recursos. Além disso, existe uma vulnerabilidade NSEC3 semelhante (CVE-2023-50868) ao calcular hashes.
Fonte: ATENA
Devido a esse ataque algorítmico, o número de instruções de CPU executadas no resolvedor DNS aumenta 2 milhões de vezes e o sistema não consegue processar outras solicitações. Os pesquisadores afirmam que uma única solicitação pode fazer com que o servidor fique indisponível: dependendo da implementação do resolvedor, esse estado dura de 56 segundos a 16 horas.
Estima-se que os resolvedores DNS com extensões DNSSEC sejam usados por 31% dos clientes web na Internet atualmente. Portanto, o problema é generalizado. Afeta, por exemplo, Google Public DNS, Quad9, OpenDNS e Cloudflare. A vulnerabilidade também foi relatada pela Akamai, que já lançou as correções necessárias para os resolvedores recursivos DNSi da Akamai (CacheServe, AnswerX).
A vulnerabilidade foi corrigida em Unbound 1.19.1, PowerDNS Recursor 4.8.6, 4.9.3 e 5.0.2, Knot Resolver 5.7.1, dnsmasq 2.90, BIND 9.16.48, 9.18.24 e 9.19.21. Vale ressaltar que a vulnerabilidade no BIND9 apareceu em 2000 e no Unbound em 2007. E durante todos esses anos ninguém percebeu o problema, apesar do código-fonte aberto de ambos os projetos.