{"id":27038,"date":"2024-02-24T16:01:14","date_gmt":"2024-02-24T22:01:14","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27038"},"modified":"2024-02-24T16:01:14","modified_gmt":"2024-02-24T22:01:14","slug":"keytrap-dnssec-vulnerability-dos-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27038\/","title":{"rendered":"KeyTrap: c\u00f3mo romper un servidor DNS con un \u00fanico paquete"},"content":{"rendered":"

Un grupo de investigadores que representan a un gran n\u00famero de universidades e institutos alemanes ha descubierto<\/a> una vulnerabilidad en DNSSEC, un conjunto de extensiones del protocolo DNS dise\u00f1adas para mejorar la seguridad y contrarrestar la suplantaci\u00f3n de DNS.<\/p>\n

Un ataque que denominaron KeyTrap que explota esa vulnerabilidad y que puede desactivar un servidor DNS al enviar un \u00fanico paquete de datos malicioso. Sigue leyendo para saber m\u00e1s sobre este ataque.<\/p>\n

C\u00f3mo funciona KeyTrap y por qu\u00e9 es peligroso<\/strong><\/p>\n

La vulnerabilidad DNSSEC se ha hecho p\u00fablica recientemente, pero fue descubierta en diciembre de 2023 y registrada como CVE-2023-50387<\/a>. Se le asign\u00f3 una puntuaci\u00f3n CVSS 3.1 de 7,5 y una clasificaci\u00f3n de gravedad \u201cAlta\u201d. A\u00fan no se ha publicado toda la informaci\u00f3n acerca de esta vulnerabilidad ni sobre el ataque asociado a ella.<\/p>\n

As\u00ed es c\u00f3mo KeyTrap funciona. El actor malicioso configura un servidor DNS que responde a la solicitud de los servidores DNS de almacenamiento de cach\u00e9<\/a>, es decir, aquellos que atiendan las solicitudes de los clientes directamente, con un paquete malicioso. Despu\u00e9s, los atacantes hacen que un servidor de cach\u00e9 solicite un registro de DNS de su servidor malicioso. El registro enviado como respuesta est\u00e1 firmado maliciosamente y encriptado. La forma en la que se elabora la firma hace que el servidor DNS atacado que intenta verificarla se ejecute a plena capacidad de la CPU por un largo periodo de tiempo.<\/p>\n

Seg\u00fan los investigadores, un solo paquete malicioso de este tipo puede congelar el servidor DNS durante un periodo que va desde los 170 segundos a las 16 horas, un tiempo que depende del software que lo ejecuta. El ataque KeyTrap puede, adem\u00e1s de denegar acceso al contenido web a todos lo clientes que utilizan el servidor DNS objetivo, interrumpir varios servicios de su infraestructura como la protecci\u00f3n contra el SPAM, la gesti\u00f3n de certificados digitales (PKI) y el enrutamiento seguro entre dominios (RPKI).<\/p>\n

Los investigadores se refieren a KeyTrap como \u201cel peor ataque a DNS jam\u00e1s descubierto\u201d. Es curioso que las fallas en la l\u00f3gica de validaci\u00f3n de firmas que hacen posible que KeyTrap funcione se descubrieran en una de las primeras versiones de la especificaci\u00f3n DNSSEC, publicada en 1999. Es decir, esta vulnerabilidad est\u00e1 a punto de cumplir 25 a\u00f1os.<\/p>\n

\"CVE-2023-50387<\/a>

El origen de KeyTrap se remonta a RCF-2035, la especificaci\u00f3n DNSSEC publicada en 1999<\/p><\/div>\n

C\u00f3mo defenderse de KeyTrap<\/h2>\n

Los investigadores han alertado a todos los desarrolladores de software de servidores DNS y a los principales proveedores p\u00fablicos de DNS. Las actualizaciones y avisos para corregir CVE-2023-50387 est\u00e1n ahora disponibles para PowerDNS<\/a>, NLnet Labs Unbound<\/a>, y Internet Systems Consortium BIND9<\/a>. Si eres administrador de un servidor DNS, es un buen momento para instalar las \u00faltimas actualizaciones.<\/p>\n

Sin embargo, ten en cuenta que los problemas l\u00f3gicos de DNSSEC que han hecho posible KeyTrap son fundamentales, por lo que no se pueden solucionar f\u00e1cilmente. Los parches publicados por los de desarrolladores de software DNS solo pueden contribuir en cierta medida a resolver el problema ya que la vulnerabilidad es parte del est\u00e1ndar en lugar de una implementaci\u00f3n espec\u00edfica. \u201cSi lanzamos [KeyTrap] contra un solucionador parcheado, obtendremos el 100 % de uso de la CPU aunque es posible que s\u00ed que responda\u201d, dice uno de los investigadores.<\/p>\n

La explotaci\u00f3n pr\u00e1ctica de la falla sigue siendo una posibilidad con el potencial resultado de impredecibles fallos. En caso de que esto suceda, los administradores de redes corporativas har\u00edan bien en preparar una lista de posibles servidores DNS de respaldo. De esta manera se anticipar\u00edan para que, si tienen que cambiarlo en alg\u00fan momento, puedan hacerlo para asegurar que la red funcione con normalidad y permita a los usuarios navegar por la web sin ning\u00fan impedimento.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Hablamos del ataque KeyTrap DoS que puede deshabilitar servidores DNS con un solo paquete malicioso que explota una vulnerabilidad en DNSSEC.<\/p>\n","protected":false},"author":2726,"featured_media":27039,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2795,3540],"tags":[638,2648,251,3682,3518,1372,1032,381,38,647],"class_list":{"0":"post-27038","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-amenazas","11":"tag-criptografia","12":"tag-ddos","13":"tag-dns","14":"tag-dos","15":"tag-empresa","16":"tag-encriptacion","17":"tag-riesgo","18":"tag-seguridad","19":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27038\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27084\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22394\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29751\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/keytrap-dnssec-vulnerability-dos-attack\/27260\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/keytrap-dnssec-vulnerability-dos-attack\/29657\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/keytrap-dnssec-vulnerability-dos-attack\/28536\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/keytrap-dnssec-vulnerability-dos-attack\/36997\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/keytrap-dnssec-vulnerability-dos-attack\/50594\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/keytrap-dnssec-vulnerability-dos-attack\/21535\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/keytrap-dnssec-vulnerability-dos-attack\/22243\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/keytrap-dnssec-vulnerability-dos-attack\/30902\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/keytrap-dnssec-vulnerability-dos-attack\/35818\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/keytrap-dnssec-vulnerability-dos-attack\/27459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/keytrap-dnssec-vulnerability-dos-attack\/33266\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/keytrap-dnssec-vulnerability-dos-attack\/32890\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27038","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27038"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27038\/revisions"}],"predecessor-version":[{"id":27041,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27038\/revisions\/27041"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27039"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27038"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27038"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27038"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}