La Minaccia di KeyTrap: Un Nuovo Attacco DNS che Potrebbe Paralizzare Internet

Un team di ricercatori ha recentemente rivelato una vulnerabilità critica nel protocollo DNSSEC, denominata KeyTrap, che potrebbe compromettere vaste porzioni di Internet. La falla, tracciata come CVE-2023-50387, consente a un attore malevolo di inviare un singolo pacchetto DNS appositamente confezionato per causare un sovraccarico delle risorse CPU dei server vulnerabili. Questo tipo di attacco potrebbe rendere inaccessibili servizi cruciali come web browsing, email e messaggistica istantanea, provocando interruzioni su scala globale.

L’Impatto e le Soluzioni

Secondo i ricercatori del centro tedesco ATHENE, circa il 31% dei client web utilizza DNS resolver che implementano DNSSEC, rendendoli vulnerabili a KeyTrap. I principali fornitori di servizi DNS, tra cui Google e Cloudflare, hanno prontamente distribuito patch per mitigare la minaccia, sottolineando che non vi sono evidenze di attacchi attivi. Tuttavia, la prevenzione completa richiede una revisione profonda del design di DNSSEC, una sfida che potrebbe richiedere anni per essere affrontata.

Le patch sono già disponibili per implementazioni DNS ampiamente utilizzate, come BIND e PowerDNS, ma i ricercatori avvertono che alcune configurazioni potrebbero essere esposte ad attacchi che possono bloccare i sistemi per ore.

Una Minaccia di Lunga Data

La vulnerabilità, presente nel protocollo DNSSEC da oltre due decenni, non era stata individuata prima a causa della complessità intrinseca del protocollo stesso. Sebbene non ci siano segnalazioni di sfruttamento attivo, KeyTrap rappresenta un monito sulla necessità di migliorare la sicurezza delle fondamenta di Internet.

Conclusioni

KeyTrap mette in evidenza i rischi derivanti da vulnerabilità di vecchia data nei protocolli fondamentali di Internet. La sicurezza di rete richiede non solo aggiornamenti regolari, ma anche un approccio proattivo per identificare e correggere difetti strutturali. Organizzazioni e individui dovrebbero assicurarsi di applicare gli aggiornamenti forniti dai propri fornitori di servizi DNS per mitigare il rischio.