{"id":28536,"date":"2024-02-22T12:55:39","date_gmt":"2024-02-22T10:55:39","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28536"},"modified":"2024-02-22T12:55:39","modified_gmt":"2024-02-22T10:55:39","slug":"keytrap-dnssec-vulnerability-dos-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/keytrap-dnssec-vulnerability-dos-attack\/28536\/","title":{"rendered":"KeyTrap: come violare un server DNS con un solo pacchetto dannoso"},"content":{"rendered":"<p>Un gruppo di ricercatori di diverse universit\u00e0 e istituti tedeschi ha <a href=\"https:\/\/www.theregister.com\/2024\/02\/13\/dnssec_vulnerability_internet\/\" target=\"_blank\" rel=\"noopener nofollow\">scoperto<\/a> una vulnerabilit\u00e0 presente nel protocollo DNSSEC, una serie di estensioni del protocollo DNS progettate per migliorarne la sicurezza e soprattutto per combattere lo spoofing DNS.<\/p>\n<p>Questo attacco, chiamato KeyTrap, sfrutta la vulnerabilit\u00e0 sopra indicata e pu\u00f2 disabilitare un server DNS inviandogli un solo pacchetto di dati dannosi. Continuate a leggere per saperne di pi\u00f9 su questo attacco.<\/p>\n<p><strong>Come funziona KeyTrap e perch\u00e9 \u00e8 cos\u00ec pericoloso<\/strong><\/p>\n<p>La vulnerabilit\u00e0 DNSSEC \u00e8 diventata di dominio pubblico solo di recente, ma \u00e8 stata scoperta nel dicembre 2023 e registrata come <a href=\"https:\/\/kb.isc.org\/docs\/cve-2023-50387\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2023-50387<\/a>. Le \u00e8 stato assegnato un punteggio CVSS pari a 3.1 su 7.5 ed \u00e8 stata classificata come gravit\u00e0 \u201cAlta\u201d. Non sono ancora state pubblicate informazioni complete sulla vulnerabilit\u00e0 e sull\u2019attacco ad essa associato.<\/p>\n<p>Ecco come funziona KeyTrap. Il malintenzionato imposta un server DNS che risponde alle richieste dei server DNS di <a href=\"https:\/\/en.wikipedia.org\/wiki\/Name_server\" target=\"_blank\" rel=\"noopener nofollow\">caching<\/a>, cio\u00e8 quelli che rispondono direttamente alle richieste dei clienti, con un pacchetto dannoso. Successivamente, l\u2019hacker fa in modo che un server di caching richieda un registro DNS al proprio server dannoso. Il registro inviato in risposta \u00e8 un registro dannoso firmato crittograficamente. Il modo in cui la firma \u00e8 realizzata fa s\u00ec che il server DNS attaccato che cerca di verificarla operi alla massima capacit\u00e0 della CPU per un lungo periodo di tempo.<\/p>\n<p>Secondo i ricercatori, basta solo un pacchetto dannoso per bloccare il server DNS per un periodo che va da 170 secondi a 16 ore, a seconda del software su cui viene eseguito. L\u2019attacco KeyTrap non solo pu\u00f2 negare l\u2019accesso ai contenuti web a tutti i client che utilizzano il server DNS preso di mira, ma pu\u00f2 anche compromettere vari servizi infrastrutturali come la protezione antispam, la gestione dei certificati digitali (PKI) e il routing sicuro cross-domain (RPKI).<\/p>\n<p>I ricercatori definiscono KeyTrap \u201cil peggior attacco al DNS mai scoperto\u201d. \u00c8 importante osservare che le vulnerabilit\u00e0 nella logica di convalida delle firme che rendono possibile KeyTrap sono state scoperte in una delle <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc2535\" target=\"_blank\" rel=\"noopener nofollow\">prime<\/a> versioni della specifica DNSSEC, pubblicata nel 1999. In altre parole, la vulnerabilit\u00e0 sta per compiere 25 anni.<\/p>\n<div id=\"attachment_28537\" style=\"width: 1522px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-28537\" class=\"size-full wp-image-28537\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/02\/22125107\/keytrap-dnssec-vulnerability-dos-attack-1.png\" alt=\"CVE-2023-50387 \u00e8 presente nelle specifiche DNSSEC dal 1999 \" width=\"1512\" height=\"792\"><p id=\"caption-attachment-28537\" class=\"wp-caption-text\">Le origini di KeyTrap possono risalire a RFC-2035, la specifica DNSSEC pubblicata nel 1999<\/p><\/div>\n<p><strong>Come combattere KeyTrap<\/strong><\/p>\n<p>I ricercatori hanno allertato tutti i software developer di server DNS e i principali provider di DNS pubblici. Aggiornamenti e avvisi di sicurezza per la correzione di CVE-2023-50387 sono ora disponibili <a href=\"https:\/\/doc.powerdns.com\/recursor\/security-advisories\/powerdns-advisory-2024-01.html\" target=\"_blank\" rel=\"noopener nofollow\">PowerDNS<\/a>, <a href=\"https:\/\/nlnetlabs.nl\/projects\/unbound\/security-advisories\/\" target=\"_blank\" rel=\"noopener nofollow\">NLnet Labs Unbound<\/a> e <a href=\"https:\/\/www.isc.org\/blogs\/2024-bind-security-release\/\" target=\"_blank\" rel=\"noopener nofollow\">Internet Systems Consortium BIND9<\/a>. Se siete amministratori di un server DNS, \u00e8 opportuno che installiate gli aggiornamenti il prima possibile.<\/p>\n<p>Tuttavia, tenete presente che i problemi di logica DNSSEC che hanno reso possibile KeyTrap sono di natura profonda e non sono facilmente risolvibili. Le patch rilasciate dagli sviluppatori di software DNS possono solo contribuire a risolvere il problema, poich\u00e9 la vulnerabilit\u00e0 fa parte dello standard, piuttosto che di implementazioni specifiche. \u201cSe lanciamo [KeyTrap] contro un resolver patchato, otteniamo ancora un utilizzo del 100% della CPU, ma pu\u00f2 ancora rispondere\u201d, afferma uno dei ricercatori.<\/p>\n<p>Lo sfruttamento della vulnerabilit\u00e0 \u00e8 ancora possibile, e ci\u00f2 pu\u00f2 comportare potenziali guasti imprevedibili ai resolver. Nel caso in cui ci\u00f2 accada, gli amministratori di rete aziendali farebbero bene a preparare in anticipo un elenco di server DNS di backup, in modo da poterli cambiare a seconda delle necessit\u00e0 per mantenere il normale funzionamento della rete e permettere agli utenti di navigare senza intoppi e di utilizzare le risorse web di cui hanno bisogno.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Oggi vi parliamo dell&#8217;attacco denominato KeyTrap DoS in grado di disabilitare i server DNS con un solo pacchetto dannoso grazie allo sfruttamento di una vulnerabilit\u00e0 nel protocollo DNSSEC.<\/p>\n","protected":false},"author":2726,"featured_media":28538,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2641,2956],"tags":[2498,2521,548,496,2294,2942,638,1522,45,584],"class_list":{"0":"post-28536","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-threats","9":"category-smb","10":"tag-business","11":"tag-cifratura","12":"tag-crittografia","13":"tag-ddos","14":"tag-dns","15":"tag-dos","16":"tag-minacce","17":"tag-rischi","18":"tag-sicurezza","19":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/keytrap-dnssec-vulnerability-dos-attack\/28536\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27084\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22394\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29751\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27260\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27038\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29657\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/keytrap-dnssec-vulnerability-dos-attack\/36997\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/50594\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/keytrap-dnssec-vulnerability-dos-attack\/21535\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22243\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/keytrap-dnssec-vulnerability-dos-attack\/30902\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/keytrap-dnssec-vulnerability-dos-attack\/35818\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/keytrap-dnssec-vulnerability-dos-attack\/27459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/keytrap-dnssec-vulnerability-dos-attack\/33266\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/keytrap-dnssec-vulnerability-dos-attack\/32890\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=28536"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28536\/revisions"}],"predecessor-version":[{"id":28539,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28536\/revisions\/28539"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/28538"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=28536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=28536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=28536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}