2024/02/17

Ataque KeyTrap podia encravar servidores DNS durante horas

Investigadores descobriram uma vulnerabilidade no serviço DNS que podia ser usada para ataques DDoS, encravando servidores durante horas com um único pedido.

O objectivos dos ataques DoS / DDoS (Denial of Service / Distributed Denial of Service) é tentar fazer com que um servidor fique sobrecarregado ao ponto de não conseguir funcionar correctamente. Por norma isso implica usar milhares e milhares de máquinas a fazerem pedidos simultâneos, mas o grande trunfo para os atacantes é terem um método que, com um único pedido, consiga encravar o servidor, dispensando a necessidade de usar milhares de máquinas, e era precisamente isso que se tornava possível neste ataque.

O ataque KeyTrap tira partido de uma falha que existe no DNSSEC (Domain Name System Security Extensions), e que na verdade tem estado presente desde 1999. Graças a essa falha, um atacante pode fazer um pedido de DNS mal-formatado que faz com que o servidor de destino fique preso num ciclo de cálculos complexos para tentar validar a autenticidade do pedido. Isto pode significar um aumento de 2 milhões de vezes do tempo normal de processamento, fazendo com que um único pedido possa encravar o servidor entre 56 segundos a 16 horas(!) dependendo da implementação.
Ora, se um único pedido podia resultar nestes atrasos, facilmente se pode imaginar como ficariam as coisas com milhares de pedidos simultâneos.

A Akamai diz que cerca de 30% do tráfego na internet utilizam DNS com validação DNSSEC, que estariam vulneráveis a este ataque, tendo implementado alterações que limitam o tempo máximo de processamento de cada pedido para ficarem imunes contra este ataque. Também a Google e a Cloudflare já aplicaram correcções idênticas; mas os serviços DNS com DNSSEC que não o fizerem continuam a estar vulneráveis a ataques DoS facilitados.

Sem comentários:

Enviar um comentário (problemas a comentar?)