{"id":21535,"date":"2024-02-21T11:59:25","date_gmt":"2024-02-21T09:59:25","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21535"},"modified":"2024-02-21T11:59:25","modified_gmt":"2024-02-21T09:59:25","slug":"keytrap-dnssec-vulnerability-dos-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/keytrap-dnssec-vulnerability-dos-attack\/21535\/","title":{"rendered":"KeyTrap : comment pirater un serveur DNS \u00e0 l’aide d’un seul paquet"},"content":{"rendered":"

Un groupe de chercheurs issus de divers instituts et universit\u00e9s allemands a d\u00e9couvert<\/a> une vuln\u00e9rabilit\u00e9 dans DNSSEC, un ensemble d\u2019extensions pour le protocole DNS con\u00e7u pour am\u00e9liorer la s\u00e9curit\u00e9, et surtout pour \u00e9viter l\u2019usurpation de DNS.<\/p>\n

L\u2019attaque nomm\u00e9e KeyTrap exploite cette vuln\u00e9rabilit\u00e9 et peut d\u00e9sactiver un serveur DNS en envoyant un seul paquet malveillant de donn\u00e9es. Continuez \u00e0 lire pour en savoir plus sur cette attaque.<\/p>\n

Le fonctionnement de KeyTrap et pourquoi cette faille est dangereuse<\/h2>\n

Cette vuln\u00e9rabilit\u00e9 dans DNSSEC a r\u00e9cemment \u00e9t\u00e9 d\u00e9voil\u00e9e publiquement m\u00eame si elle a \u00e9t\u00e9 d\u00e9couverte en d\u00e9cembre 2023 et a \u00e9t\u00e9 identifi\u00e9e comme CVE-2023-50387. Elle a re\u00e7u un score CVSS de 3.1 sur 7.5 et a un taux de gravit\u00e9 \u00ab\u00a0\u00e9lev\u00e9\u00a0\u00bb. Toutes les informations compl\u00e8tes sur cette vuln\u00e9rabilit\u00e9 et l\u2019attaque associ\u00e9e n\u2019ont pas encore \u00e9t\u00e9 partag\u00e9es.<\/p>\n

Voici comment KeyTrap fonctionne. L\u2019acteur malveillant met en place un serveur DNS qui r\u00e9pond aux requ\u00eates de cache<\/a> des serveurs DNS, c\u2019est-\u00e0-dire ceux qui g\u00e8rent directement les requ\u00eates des clients, en utilisant un paquet malveillant. Ensuite, le cybercriminel fait en sorte que le cache de serveur demande un enregistrement DNS au serveur malveillant. L\u2019enregistrement envoy\u00e9 en r\u00e9ponse est une signature cryptographique malveillante. La fa\u00e7on dont la signature est \u00e9labor\u00e9e oblige le serveur DNS pris pour cible \u00e0 le v\u00e9rifier en utilisant toute la capacit\u00e9 du CPU pendant un moment.<\/p>\n

Selon les chercheurs, un seul paquet malveillant de ce genre peut interrompre n\u2019importe quel serveur DNS pendant une p\u00e9riode allant de 170 secondes \u00e0 16 heures selon le programme sur lequel il est ex\u00e9cut\u00e9. L\u2019attaque KeyTrap peut d\u00e9nier l\u2019acc\u00e8s au contenu de la web \u00e0 tous les clients qui utilisent le serveur DNS cibl\u00e9 et perturber plusieurs services infrastructurels comme la protection anti-spam, l\u2019infrastructure \u00e0 cl\u00e9 publique (PKI) ou le programme de certification des ressources (RPKI).<\/p>\n

Les chercheurs mentionnent que KeyTrap est \u00ab\u00a0la pire attaque DNS jamais d\u00e9couverte\u00a0\u00bb. Curieusement, les failles d\u00e9tect\u00e9es dans la logique du processus de validation des signatures qui rendent l\u2019exploitation de KeyTrap possible ont \u00e9t\u00e9 d\u00e9couvertes dans une des premi\u00e8res<\/a> versions de la fonctionnalit\u00e9 DNSSEC, publi\u00e9e en 1999. En d\u2019autres termes, cette vuln\u00e9rabilit\u00e9 a presque 25 ans.<\/p>\n

\"CVE-2023-50387<\/a>

Les premi\u00e8res traces de KeyTrap apparaissent dans RFC-95, la fonctionnalit\u00e9 DNSSEC publi\u00e9e en 1999<\/p><\/div>\n

Se prot\u00e9ger contre KeyTrap<\/h2>\n

Les chercheurs ont averti tous les d\u00e9veloppeurs de programmes qui utilisent un serveur DNS et les principaux fournisseurs de DNS. Des mises \u00e0 jour et des bulletins de s\u00e9curit\u00e9 qui permettent de corriger CVE-2023-50387 sont d\u00e9sormais disponibles pour PowerDNS<\/a>, NLnet Labs Unbound<\/a> et Internet Systems Consortium BIND9<\/a>. Si vous \u00eates l\u2019administrateur d\u2019un serveur DNS, il est grand temps d\u2019installer les mises \u00e0 jour.<\/p>\n

N\u2019oubliez pas toutefois que les probl\u00e8mes de logique DNSSEC qui ont rendu l\u2019exploitation de KeyTrap possible sont des questions fondamentales et difficiles \u00e0 corriger. Les correctifs publi\u00e9s par les d\u00e9veloppeurs du programme DNS ne peuvent que r\u00e9soudre le probl\u00e8me, puisque la vuln\u00e9rabilit\u00e9 fait partie de la norme, contrairement \u00e0 des ex\u00e9cutions sp\u00e9cifiques. \u00ab\u00a0Si nous lan\u00e7ons [KeyTrap] contre un r\u00e9solveur corrig\u00e9, le CPU est tout de m\u00eame utilis\u00e9 \u00e0 100 % mais il peut r\u00e9pondre\u00a0\u00bb explique l\u2019un des chercheurs.<\/p>\n

L\u2019exploitation pratique de cette faille est une possibilit\u00e9 et les \u00e9ventuelles failles du r\u00e9solveur restent impr\u00e9visibles. Si cela venait \u00e0 arriver, les administrateurs des r\u00e9seaux d\u2019entreprise devraient pr\u00e9parer \u00e0 l\u2019avance une liste des serveurs DNS de sauvegarde afin de pouvoir les mettre en route si n\u00e9cessaire pour que le r\u00e9seau continue de fonctionner normalement et pour que les utilisateurs puissent naviguer et consulter les ressources disponibles sur le web sans probl\u00e8me.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nous vous parlons de l\u2019attaque par d\u00e9ni de service KeyTrap qui peut d\u00e9sactiver les serveurs DNS \u00e0 l\u2019aide d\u2019un seul paquet malveillant qui exploite une vuln\u00e9rabilit\u00e9 dans DNSSEC.<\/p>\n","protected":false},"author":2726,"featured_media":21537,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,686,3151],"tags":[322],"class_list":{"0":"post-21535","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-threats","9":"category-smb","10":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/keytrap-dnssec-vulnerability-dos-attack\/21535\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27084\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22394\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29751\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27260\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27038\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29657\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/keytrap-dnssec-vulnerability-dos-attack\/28536\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/keytrap-dnssec-vulnerability-dos-attack\/36997\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/50594\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22243\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/keytrap-dnssec-vulnerability-dos-attack\/30902\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/keytrap-dnssec-vulnerability-dos-attack\/35818\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/keytrap-dnssec-vulnerability-dos-attack\/27459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/keytrap-dnssec-vulnerability-dos-attack\/33266\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/keytrap-dnssec-vulnerability-dos-attack\/32890\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=21535"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21535\/revisions"}],"predecessor-version":[{"id":21540,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21535\/revisions\/21540"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/21537"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=21535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=21535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=21535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}