Ataque KeyTrap pode causar falhas DNS com apenas um pacote
Uma nova vulnerabilidade grave foi descoberta sobre o sistema de DNS, mais concretamente sobre a tecnologia Domain Name System Security Extensions (DNSSEC), que pode levar a que um domínio fique inacessível durante longos períodos de tempo.
A falha foi apelidada de “KeyTrap “, e afeta o próprio funcionamento dos sistemas DNSSEC em servidores DNS à escala global. Se explorada, esta falha pode levar a que um sistema de DNS fique totalmente inacessível em ataques DoS, bastando para tal o envio de um simples pacote para os mesmos.
Os servidores DNS são, basicamente, sistemas que permite converter os domínios na Internet – como tugatech.com.pt – para endereços IPs, que são usados para “ligar” os mesmos aos servidores corretos. Estes são uma parte bastante importante da internet, e servem como plataforma para permitir o correto funcionamento de vários sistemas.
O sistema DNSSEC, por usa vez, garante uma camada adicional de segurança para pedidos DNS, encriptando os conteúdos de forma a garantir que os mesmos não são alterados entre a origem e o servidor DNS de destino. Desta forma, os utilizadores podem garantir que se encontram a aceder ao local correto e que não foi maliciosamente modificado.
A falha KeyTrap encontra-se presente no DNSSEC faz mais de 20 anos, e foi descoberto por investigadores da National Research Center for Applied Cybersecurity ATHENE. Explorando a falha, um atacante pode realizar largos ataques contra sistemas DNS, causando atrasos na resolução de domínios ou até a sua indisponibilidade, bastando para tal um simples pacote.
Os investigadores demonstraram como é possível explorar esta falha para realizar longos e simples ataques, que podem causar graves problemas para sistemas de DNS em geral.
Um dos investigadores afirma que a falha é de tal forma grave que a mesma pode levar a que partes da internet fiquem completamente inacessíveis. Os investigadores afirmam ter trabalhado com empresas como a Google e Cloudflare para mitigar este problema desde Novembro de 2023.
De acordo com os investigadores, a falha estaria na própria implementação do DNSSEC, e acredita-se que esteja presente no mesmo desde meados de 1999. Portanto, a confirmar-se, a falha terá sido desconhecida durante mais de 25 anos.
Embora várias entidades gestoras dos maiores DNS a nível global tenham confirmado que estão a desenvolver correções para esta falha, a completa mitigação do mesmo pode levar a uma restruturação completa do DNSSEC .