KeyTrap: falla DNSSEC individuata da ricercatori
La vulnerabilità mette a rischio la stabilità del DNSSEC
Una vulnerabilità, chiamata KeyTrap, è stata scoperta nel sistema di autenticazione DNSSEC, potendo causare interruzioni del servizio DNS. Soluzioni di sicurezza sono state implementate per prevenire danni.
Recentemente, è stata scoperta una vulnerabilità nelle estensioni di sicurezza del Domain Name System, note come DNSSEC. Il disfunzionamento, segnalato con la sigla CVE-2023-50387 e soprannominato KeyTrap, interessa il sistema di autenticazione delle risposte DNS, che per due decenni è apparso inefficace contro determinate minacce. Attaccanti potenziali, manipolando un singolo pacchetto inviato a un server DNS, potrebbero déclencher un servizio di refusal (DoS) persistente, con gravi conseguenze per l'accesso a Internet. Soluzioni correttive sono state adottate da giganti della rete come Google e Cloudflare.
L'attacco DoS e le sue ripercussioni sulla rete
L'exploit designato KeyTrap sfrutta una falla dell'implementazione di DNSSEC, provocando una dilatazione temporale nella gestione delle chiavi crittografiche e delle firme. Il risultato è un incremento sproporzionato del carico sulla CPU del server, che si traduce in un'interruzione del servizio DNS. Questa interruzione non va né sottovalutata né vista in piccolo: può estendersi oltre la navigazione internet, incluse email e servizi di messaggistica, con la possibilità di incidere negativamente su larga scala, toccando un'ampia utenza globale.
Rimedi di Akamai alla falla KeyTrap
In relazione alla falla KeyTrap, Akamai ha proattivamente sviluppato misure di difesa, che sono state implementate tra il dicembre 2023 e il febbraio 2024. Queste includono il perfezionamento dei resolver DNS ricorsivi e altre soluzioni cloud. Data l'entità del rischio, il difetto alla base di DNSSEC potrebbe necessitare di interventi di progettazione ben più estesi, possibilmente comportando una revisione generale della struttura del protocollo.
Consigli e statistiche da Akamai sulla vulnerabilità
Akamai, nella sua ultima comunicazione, stima che una quota rilevante di utenti - 35% negli USA e 30% a livello internazionale - si affidino a resolver DNS con validazione DNSSEC e siano pertanto a rischio. L'azienda sollecita gli utenti a verificare la disponibilità e applicare gli aggiornamenti di sicurezza forniti dai rispettivi provider. Fortunatamente, l'attenta cooperazione della comunità online ha permesso di evitarne la propagazione e di mitigare significativamente i possibili danni di quello che avrebbe potuto tradursi in un exploit dannoso.
Seguici su Twitter per altre pillole come questa21/02/2024 13:02
Marco Verro