Une vulnérabilité grave nommée KeyTrap dans la fonctionnalité DNSSEC (Domain Name System Security Extensions) pourrait être exploitée pour refuser l’accès Internet aux applications pendant une période prolongée.
Suivi sous le numéro CVE-2023-50387, KeyTrap est un problème de conception dans DNSSEC et affecte toutes les implémentations ou services populaires du Système de noms de domaine (DNS).
Il permet à un attaquant distant de provoquer une condition de déni de service (DoS) de longue durée dans les résolveurs vulnérables en envoyant un seul paquet DNS.
Le DNS est ce qui nous permet, à nous humains, d’accéder à des emplacements en ligne en tapant des noms de domaine au lieu de l’adresse IP du serveur auquel notre ordinateur doit se connecter.
DNSSEC est une fonctionnalité du DNS qui apporte des signatures cryptographiques aux enregistrements DNS, fournissant ainsi une authentification aux réponses; cette vérification garantit que les données DNS proviennent de la source, son serveur de noms faisant autorité, et n’ont pas été modifiées en cours de route pour vous acheminer vers un emplacement malveillant.
Dégâts importants en une seule demande d’attaque
KeyTrap est présent dans la norme DNSSEC depuis plus de deux décennies et a été découvert par des chercheurs du Centre National de Recherche pour la Cybersécurité appliquée ATHENE, aux côtés d’experts de l’Université Goethe de Francfort, Fraunhofer SIT et de l’Université technique de Darmstadt.
Les chercheurs expliquent que le problème provient de l’exigence de DNSSEC d’envoyer toutes les clés cryptographiques pertinentes pour les chiffrements pris en charge et les signatures correspondantes pour que la validation ait lieu.
Le processus est le même même si certaines clés DNSSEC sont mal configurées, incorrectes ou appartiennent à des chiffrements qui ne sont pas pris en charge.
En tirant parti de cette vulnérabilité, les chercheurs ont développé une nouvelle classe d’attaques de complexité algorithmique basées sur DNSSEC qui peuvent augmenter de 2 millions de fois le nombre d’instructions CPU dans un résolveur DNS, retardant ainsi sa réponse.
La durée de cet état DoS dépend de la mise en œuvre du résolveur, mais les chercheurs affirment qu’une seule demande d’attaque peut contenir la réponse de 56 secondes à 16 heures.
« L’exploitation de cette attaque aurait de graves conséquences pour toute application utilisant Internet, y compris l’indisponibilité de technologies telles que la navigation sur le Web, le courrier électronique et la messagerie instantanée », indique la divulgation d’ATHENE.
« Avec KeyTrap, un attaquant pourrait complètement désactiver de grandes parties de l’Internet mondial », affirment les chercheurs.
Des détails complets sur la vulnérabilité et comment elle peut se manifester sur les implémentations DNS modernes peuvent être trouvés dans un rapport technique publié plus tôt cette semaine.
Les chercheurs ont démontré comment leur attaque KeyTrap peut avoir un impact sur les fournisseurs de services DNS, tels que Google et Cloudflare, depuis début novembre 2023 et ont travaillé avec eux pour développer des mesures d’atténuation.
ATHENE explique que KeyTrap est présent dans les normes largement utilisées depuis 1999, il est donc passé inaperçu pendant près de 25 ans, principalement en raison de la complexité des exigences de validation DNSSEC.
Bien que les fournisseurs impactés aient déjà apporté des correctifs ou soient en train d’atténuer le risque de KeyTrap, ATHENE déclare que la résolution du problème à un niveau fondamental peut nécessiter une réévaluation de la philosophie de conception DNSSEC.
En réponse à la menace KeyTrap, Akamai a développé et déployé, entre décembre 2023 et février 2024, des mesures d’atténuation pour ses résolveurs récursifs DNSi, y compris CacheServe et AnswerX, ainsi que ses solutions cloud et gérées.
Cette faille de sécurité aurait pu permettre aux attaquants de perturber gravement le fonctionnement d’Internet, exposant un tiers des serveurs DNS dans le monde à une attaque par déni de service (DoS) très efficace et affectant potentiellement plus d’un milliard d’utilisateurs. – Akamaï
Akamai note que d’après les données APNIC, environ 35% des utilisateurs basés aux États-Unis et 30% des utilisateurs d’Internet dans le monde s’appuient sur des résolveurs DNS qui utilisent la validation DNSSEC et sont donc vulnérables aux pièges à clés.
Bien que la société Internet n’ait pas partagé beaucoup de détails sur les mesures d’atténuation réelles qu’elle a mises en œuvre, le document d’ATHENE décrit la solution d’Akamai comme limitant les défaillances cryptographiques à un maximum de 32, ce qui rend pratiquement impossible l’épuisement des ressources CPU et provoque un blocage.
Des correctifs sont déjà présents dans les services DNS de Google et Cloudflare.