Los investigadores de seguridad han descubierto una falla importante en el sistema DNS que podría «deshabilitar completamente» grandes partes de Internet en todo el mundo durante períodos prolongados.
Investigadores de ciberseguridad del Centro Nacional de Investigación en Ciberseguridad Aplicada ATHENE, la Universidad Goethe de Frankfurt, Fraunhofer SIT y la Universidad Técnica de Darmstadt, encontraron recientemente una falla en la Extensión de Seguridad del Sistema de Nombres de Dominio (DNSSEC), un protocolo de seguridad que agrega una capa de protección adicional. al Sistema de Nombres de Dominio (DNS).
Con DNSSEC, los registros DNS obtienen una firma digital que confirma que no fueron modificados ni falsificados en tránsito.
Correcciones disponibles
La falla, rastreada como CVE-2023-50387, se denominó KeyTrap y, en resumen, permite a los actores de amenazas montar una denegación de servicio duradera (Del) ataques contra diversas aplicaciones y programas de Internet. «La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea», dijo ATHENE en un aviso. «Con KeyTrap, un atacante podría desactivar completamente gran parte de Internet en todo el mundo», advirtieron los investigadores.
Ya se desarrolló un parche y se está implementando al momento de esta publicación.
Las cifras de Akamai muestran que casi un tercio de todos los usuarios de Internet son susceptibles a KeyTrap, pitidocomputadora informó.
La vulnerabilidad, explicaron además, estuvo presente en DNSSEC durante más de dos décadas, pero nunca fue descubierta ni explotada debido a la complejidad de los requisitos de validación de DNSSEC. Los ataques provocarían una denegación de servicio que duraría entre un minuto y 16 horas.
A principios de noviembre de 2023, los investigadores demostraron sus hallazgos a Google y Cloudflare, con quienes han estado trabajando en mitigaciones desde entonces. Ahora, Akamai ya lanzó mitigaciones para sus solucionadores recursivos DNSi, y tanto Google como Cloudflare también implementaron sus parches.
Si bien solucionar el problema es una buena noticia, los investigadores enfatizan que para estar a salvo de futuras amenazas similares, se debe reevaluar toda la filosofía de diseño de DNSSEC.