Le bug DNS « KeyTrap » menace des pannes Internet généralisées
Bien qu’il soit là depuis 2000, les chercheurs ont récemment pu découvrir une faille de conception fondamentale dans une extension de sécurité du système de noms de domaine (DNS), qui, dans certaines circonstances, pourrait être exploitée pour détruire de vastes étendues d’Internet.
Les serveurs DNS traduisent les URL de sites Web en adresses IP et, pour la plupart de manière invisible, acheminent tout le trafic Internet.
L’équipe à l’origine de cette découverte appartient au Centre national de recherche ATHENE pour la cybersécurité appliquée en Allemagne. Ils ont nommé la vulnérabilité de sécurité « KeyTrap », suivie comme CVE-2023-50387. Selon eux nouveau rapport sur le bug DNS KeyTrap, les chercheurs ont découvert qu’un seul paquet envoyé à une implémentation de serveur DNS utilisant l’extension DNSSEC pour valider le trafic pourrait forcer le serveur à entrer dans une boucle de résolution qui l’amènerait à consommer toute sa propre puissance de calcul et à se bloquer. Si plusieurs serveurs DNS étaient exploités en même temps avec KeyTrap, ils pourraient être arrêtés en même temps, entraînant des pannes Internet généralisées, selon l’équipe d’universitaires.
Lors des tests, la durée pendant laquelle les serveurs DNS sont restés hors ligne après une attaque différait, mais le rapport a noté que Bind 9, l’implémentation DNS la plus largement déployée, pouvait rester bloquée jusqu’à 16 heures.
Selon l’Internet Systems Consortium (ISC), qui supervise les serveurs DNS dans le monde, 34 % des Serveurs DNS en Amérique du Nord, ils utilisent DNSSEC pour l’authentification et sont donc vulnérables à cette faille.
La bonne nouvelle est qu’il n’y a jusqu’à présent aucune preuve d’exploitation active, selon le rapport et l’ISC.
Nouvelle classe de cyberattaques DNS
ATHENE a ajouté que KeyTrap représente une toute nouvelle classe de cyberattaques, que l’équipe a baptisée « attaques de complexité algorithmique ».
L’équipe de recherche a passé les derniers mois à travailler avec les principaux fournisseurs de services DNS, notamment Google et Cloudflare, pour déployer les correctifs nécessaires avant de rendre leurs travaux publics. L’équipe a noté que les correctifs ne sont qu’une solution temporaire et qu’elle travaille à réviser les normes DNSSEC pour repenser complètement sa conception.
« Les chercheurs ont travaillé avec tous les fournisseurs concernés et les principaux fournisseurs de DNS publics pendant plusieurs mois, ce qui a abouti à un certain nombre de correctifs spécifiques aux fournisseurs, les derniers publiés le mardi 13 février », selon le rapport. « Il est fortement recommandé à tous les fournisseurs de services DNS d’appliquer ces correctifs immédiatement pour atténuer cette vulnérabilité critique. »
Fernando Monténégro, analyste principal senior pour la cybersécurité chez Omdia, félicite les chercheurs pour avoir divulgué la faille en étroite coordination avec l’écosystème des fournisseurs.
« Félicitations aux chercheurs », déclare le Monténégro. « Cela a été divulgué en coordination avec les chercheurs, les prestataires de services et les responsables de la création du correctif. »
À partir de là, il appartient aux fournisseurs de services de trouver un chemin vers un correctif permanent pour les résolveurs DNS concernés, ajoute-t-il.
« Il incombe désormais aux utilisateurs de serveurs DNS d’obtenir la dernière version et de corriger la vulnérabilité », explique le Monténégro.
L’ISC ne recommande pas aux administrateurs de désactiver la validation DNSSEC sur les serveurs DNS, même si cela résout le problème. Pour ceux qui exécutent l’implémentation DNS open source Bind 9, le ICS a une mise à jour.
L’ICS conclut : « Nous conseillons plutôt fortement d’installer l’une des versions de BIND répertoriées ci-dessous, dans laquelle une validation DNSSEC exceptionnellement complexe n’entravera plus la charge de travail des autres serveurs. »