Vulnérabilités
Un groupe de chercheurs issus de divers instituts et universités allemands a découvert une vulnérabilité dans DNSSEC, un ensemble d’extensions pour le protocole DNS conçu pour améliorer la sécurité, et surtout pour éviter l’usurpation de DNS.
L’attaque nommée KeyTrap exploite cette vulnérabilité et peut désactiver un serveur DNS en envoyant un seul paquet malveillant de données. Continuez à lire pour en savoir plus sur cette attaque.
Le fonctionnement de KeyTrap et pourquoi cette faille est dangereuse
Cette vulnérabilité dans DNSSEC a récemment été dévoilée publiquement même si elle a été découverte en décembre 2023 et a été identifiée comme CVE-2023-50387. Elle a reçu un score CVSS de 3.1 sur 7.5 et a un taux de gravité « élevé ». Toutes les informations complètes sur cette vulnérabilité et l’attaque associée n’ont pas encore été partagées.
Voici comment KeyTrap fonctionne. L’acteur malveillant met en place un serveur DNS qui répond aux requêtes de cache des serveurs DNS, c’est-à-dire ceux qui gèrent directement les requêtes des clients, en utilisant un paquet malveillant. Ensuite, le cybercriminel fait en sorte que le cache de serveur demande un enregistrement DNS au serveur malveillant. L’enregistrement envoyé en réponse est une signature cryptographique malveillante. La façon dont la signature est élaborée oblige le serveur DNS pris pour cible à le vérifier en utilisant toute la capacité du CPU pendant un moment.
Selon les chercheurs, un seul paquet malveillant de ce genre peut interrompre n’importe quel serveur DNS pendant une période allant de 170 secondes à 16 heures selon le programme sur lequel il est exécuté. L’attaque KeyTrap peut dénier l’accès au contenu de la web à tous les clients qui utilisent le serveur DNS ciblé et perturber plusieurs services infrastructurels comme la protection anti-spam, l’infrastructure à clé publique (PKI) ou le programme de certification des ressources (RPKI).
Les chercheurs mentionnent que KeyTrap est « la pire attaque DNS jamais découverte ». Curieusement, les failles détectées dans la logique du processus de validation des signatures qui rendent l’exploitation de KeyTrap possible ont été découvertes dans une des premières versions de la fonctionnalité DNSSEC, publiée en 1999. En d’autres termes, cette vulnérabilité a presque 25 ans.
Les premières traces de KeyTrap apparaissent dans RFC-95, la fonctionnalité DNSSEC publiée en 1999
Se protéger contre KeyTrap
Les chercheurs ont averti tous les développeurs de programmes qui utilisent un serveur DNS et les principaux fournisseurs de DNS. Des mises à jour et des bulletins de sécurité qui permettent de corriger CVE-2023-50387 sont désormais disponibles pour PowerDNS, NLnet Labs Unbound et Internet Systems Consortium BIND9. Si vous êtes l’administrateur d’un serveur DNS, il est grand temps d’installer les mises à jour.
N’oubliez pas toutefois que les problèmes de logique DNSSEC qui ont rendu l’exploitation de KeyTrap possible sont des questions fondamentales et difficiles à corriger. Les correctifs publiés par les développeurs du programme DNS ne peuvent que résoudre le problème, puisque la vulnérabilité fait partie de la norme, contrairement à des exécutions spécifiques. « Si nous lançons [KeyTrap] contre un résolveur corrigé, le CPU est tout de même utilisé à 100 % mais il peut répondre » explique l’un des chercheurs.
L’exploitation pratique de cette faille est une possibilité et les éventuelles failles du résolveur restent imprévisibles. Si cela venait à arriver, les administrateurs des réseaux d’entreprise devraient préparer à l’avance une liste des serveurs DNS de sauvegarde afin de pouvoir les mettre en route si nécessaire pour que le réseau continue de fonctionner normalement et pour que les utilisateurs puissent naviguer et consulter les ressources disponibles sur le web sans problème.
Conseils