Especialistas do Centro Nacional Alemão de Pesquisa para Segurança Cibernética Aplicada ATHENE relataram a descoberta de uma vulnerabilidade perigosa no mecanismo DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio), um conjunto de extensões de protocolo DNS. A falha teoricamente permite desabilitar o servidor DNS realizando um ataque DoS.
O estudo envolveu funcionários da Universidade Johann Wolfgang Goethe de Frankfurt, do Instituto Fraunhofer de Tecnologia de Segurança da Informação (Fraunhofer SIT) e da Universidade Técnica de Darmstadt.
Imagem Fonte: Pixabay.com
As extensões DNSSEC são projetadas para mitigar ataques de falsificação de IP ao processar nomes de domínio. A tecnologia visa garantir a confiabilidade e integridade dos dados. O princípio de funcionamento do DNSSEC baseia-se na utilização de assinaturas digitais, enquanto o mecanismo em si não encripta os dados nem altera a sua gestão.
A vulnerabilidade descoberta foi chamada KeyTrap, ou CVE-2023-50387: recebeu uma classificação de perigo CVSS de 7,5 em 10. O ataque visa o resolvedor DNS. O envio de um pacote de dados especialmente criado faz com que o resolvedor DNS que usa DNSSEC comece a realizar uma enorme quantidade de cálculos criptográficos que consomem muitos recursos. Além disso, existe uma vulnerabilidade NSEC3 semelhante (CVE-2023-50868) ao calcular hashes.
Fonte: ATENA
Devido a esse ataque algorítmico, o número de instruções de CPU executadas no resolvedor DNS aumenta 2 milhões de vezes e o sistema não consegue processar outras solicitações. Os pesquisadores afirmam que uma única solicitação pode fazer com que o servidor fique indisponível: dependendo da implementação do resolvedor, esse estado dura de 56 segundos a 16 horas.
Estima-se que os resolvedores DNS com extensões DNSSEC sejam usados por 31% dos clientes web na Internet atualmente. Portanto, o problema é generalizado. Afeta, por exemplo, Google Public DNS, Quad9, OpenDNS e Cloudflare. A vulnerabilidade também foi relatada pela Akamai, que já lançou as correções necessárias para os resolvedores recursivos DNSi da Akamai (CacheServe, AnswerX).
A vulnerabilidade foi corrigida em Unbound 1.19.1, PowerDNS Recursor 4.8.6, 4.9.3 e 5.0.2, Knot Resolver 5.7.1, dnsmasq 2.90, BIND 9.16.48, 9.18.24 e 9.19.21. Vale ressaltar que a vulnerabilidade no BIND9 apareceu em 2000 e no Unbound em 2007. E durante todos esses anos ninguém percebeu o problema, apesar do código-fonte aberto de ambos os projetos.
A Anthropic lançou uma nova funcionalidade para seu assistente de IA, Claude, chamada Claude Cowork.…
Quando, há mais de uma década, no final de 2014, especialistas líderes da indústria de…
O CEO da Meta✴, Mark Zuckerberg, anunciou o lançamento de uma nova iniciativa de ponta…
Usuários do Windows 11 notaram que as atualizações de drivers recebidas pelo Windows Update são…
Conforme o cronograma apresentado no verão passado, o primeiro festival temático do modelo de 2026,…
A Apple anunciou uma parceria plurianual com o Google, na qual seu modelo de IA…