Especialistas do Centro Nacional Alemão de Pesquisa para Segurança Cibernética Aplicada ATHENE relataram a descoberta de uma vulnerabilidade perigosa no mecanismo DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio), um conjunto de extensões de protocolo DNS. A falha teoricamente permite desabilitar o servidor DNS realizando um ataque DoS.
O estudo envolveu funcionários da Universidade Johann Wolfgang Goethe de Frankfurt, do Instituto Fraunhofer de Tecnologia de Segurança da Informação (Fraunhofer SIT) e da Universidade Técnica de Darmstadt.
Imagem Fonte: Pixabay.com
As extensões DNSSEC são projetadas para mitigar ataques de falsificação de IP ao processar nomes de domínio. A tecnologia visa garantir a confiabilidade e integridade dos dados. O princípio de funcionamento do DNSSEC baseia-se na utilização de assinaturas digitais, enquanto o mecanismo em si não encripta os dados nem altera a sua gestão.
A vulnerabilidade descoberta foi chamada KeyTrap, ou CVE-2023-50387: recebeu uma classificação de perigo CVSS de 7,5 em 10. O ataque visa o resolvedor DNS. O envio de um pacote de dados especialmente criado faz com que o resolvedor DNS que usa DNSSEC comece a realizar uma enorme quantidade de cálculos criptográficos que consomem muitos recursos. Além disso, existe uma vulnerabilidade NSEC3 semelhante (CVE-2023-50868) ao calcular hashes.
Fonte: ATENA
Devido a esse ataque algorítmico, o número de instruções de CPU executadas no resolvedor DNS aumenta 2 milhões de vezes e o sistema não consegue processar outras solicitações. Os pesquisadores afirmam que uma única solicitação pode fazer com que o servidor fique indisponível: dependendo da implementação do resolvedor, esse estado dura de 56 segundos a 16 horas.
Estima-se que os resolvedores DNS com extensões DNSSEC sejam usados por 31% dos clientes web na Internet atualmente. Portanto, o problema é generalizado. Afeta, por exemplo, Google Public DNS, Quad9, OpenDNS e Cloudflare. A vulnerabilidade também foi relatada pela Akamai, que já lançou as correções necessárias para os resolvedores recursivos DNSi da Akamai (CacheServe, AnswerX).
A vulnerabilidade foi corrigida em Unbound 1.19.1, PowerDNS Recursor 4.8.6, 4.9.3 e 5.0.2, Knot Resolver 5.7.1, dnsmasq 2.90, BIND 9.16.48, 9.18.24 e 9.19.21. Vale ressaltar que a vulnerabilidade no BIND9 apareceu em 2000 e no Unbound em 2007. E durante todos esses anos ninguém percebeu o problema, apesar do código-fonte aberto de ambos os projetos.
A Logitech anunciou o Mobi Fold, um mouse dobrável projetado para uso em movimento. Ele…
A rede de comunicações via satélite Starlink possui tal cobertura e velocidades de transmissão de…
Os fãs do jogo de tiro online gratuito Destiny 2, da Bungie, empresa pertencente à…
Mustafa Suleyman, chefe de IA da Microsoft, classificou as tentativas da Anthropic de sugerir que…
O pequeno setor de aviação elétrica atraiu um número significativo de startups, e a japonesa…
Mais de dez anos após o lançamento da primeira versão do aplicativo Telegram para Apple…