Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
febrero
(Total:
102
)
- El DJ serbio que se ha forrado recuperando dominio...
- La plaga de anuncios trampa con imágenes de famoso...
- Con una Raspberry Pi y un algoritmo de IA bloquea ...
- Hackean remotamente las impresoras 3D de Anycubic
- Disponible Kali Linux 2024.1 con 4 nuevas herramie...
- El ransomware Rhysida pide 3,6 millones de dólares...
- Browser In The Browser (BitB) sin marcos
- Botnet con Ubiquity EdgeRouter infectados
- Epic Games ha sido hackeada por Mogilevich: han ro...
- Amazon Prime Video incluirá anuncios en España a p...
- Samsung presenta una tarjeta microSD capaz de alca...
- El Bitcoin alcanza su valor más alto de los último...
- PlayStation despide a cientos de empleados y cance...
- Universal Music retira más canciones de TikTok e i...
- Novedades Tails 6.0
- Configurar una VPN con WireGuard y WireGuard-UI en...
- Configurar una VPN Site-to-Site con IPsec
- Influencers "Los Petazetaz" detenidos por violar y...
- Filtración datos personales titulares de las tarje...
- Energizer P28K: el móvil con la batería más grande...
- Lenovo presenta un prototipo de portátil con una p...
- Oppo presenta las Air Glass 3, sus gafas de realid...
- ¿Puede un malware ocultarse en una foto?
- Vulnerabilidades más aprovechadas para realizar at...
- Microsoft se une al club de Apple: diseñará sus pr...
- Nvidia supera las expectativas y sus ventas para c...
- Vuelve el grupo de ransomware LockBit
- Windows 11 aún no es compatible ni con Wi-Fi 7 ni ...
- Avast antivirus multada con 16,5 millones por alma...
- El cristal de las Apple Vision Pro se agrieta sin ...
- Consiguen hackear PlayStation Portal y ejecutar un...
- Google usará Reddit para entrenar su inteligencia ...
- Gemma, la nueva IA de código abierto de Google
- Menores de edad “venden” sus datos biométricos a W...
- Un pasajero en pleno vuelo publica en Reddit una i...
- Filtración programa integral de vigilancia global ...
- Un error en las cámaras domóticas Wyze permitió qu...
- Condenan a prisión en EE.UU. a una popular youtube...
- Más de 28.500 servidores correo Microsoft Exchange...
- Europol confisca los sitios del mayor grupo de ran...
- Microsoft anuncia su mayor inversión en España: 1....
- La Comisión Europea abre una investigación a TikTok
- Comisiones Obreras de España sufre un hackeo con l...
- La UE multará a Apple Music con 500 millones de eu...
- GhostTask: crea tareas programadas de forma sigilo...
- Acusan a X (Twitter) de recibir dinero de grupos t...
- LineageOS 21, la mejor ROM alternativa llega actua...
- KeyTrap: Vulnerabilidad crítica de diseño en DNS
- Europa dictamina que las puertas traseras en siste...
- Nothing Phone 2a: especificaciones, precio y diseño
- Se casa la pareja que solo se podía comunicar medi...
- Microsoft presenta su aplicación PC Manager para m...
- NVIDIA Chat with RTX, un chatbot de IA que se ejec...
- OpenAI presenta Sora, su nueva herramienta para ge...
- El ‘boom’ de los influencers de 10 años: el reto d...
- Suplantación del CEO utilizando la técnica de inte...
- Cuidado con enamorarte de una IA: son una trampa p...
- ChatGPT es el nuevo aliado de los grupos cibercrim...
- Las empresas empiezan a usar una herramienta de IA...
- Vuelve la fiebre por el Bitcoin: alcanza su máximo...
- Google, Meta y OpenAI anuncian medidas para identi...
- Vulnerabilidad crítica en Docker permite escapar d...
- Vulnerabilidad en el software Magician de Samsung SSD
- IA, pérdidas de trabajo y los despidos
- Filtrados los datos de 33 millones de pacientes fr...
- OnlyFake: identidades falsas de cualquier país
- Ovrdrive USB, el pendrive que se autodestruye
- Amazon es acusada de recomendar los productos más ...
- Descubren malware en mini-ordenadores vendidos en ...
- El cursor de tu ratón está torcido, y ha estado as...
- La telco mexicana Claro reconoce haber sufrido un ...
- Según Estados Unidos, los coches eléctricos chinos...
- Vulnerabilidad en productos Ivanti expone a miles ...
- Empresa de recuperación de datos avisa: «Pendrives...
- Rompen el cifrado BitLocker de Windows 10 y Window...
- Vulnerabilidad crítica que afecta a la mayoría de ...
- Apple presenta una IA de código abierto para edita...
- ¿Una botnet de DDoS con cepillos de dientes? No es...
- Vulnerabilidades en Cisco, Fortinet, VMware y QNAP
- Cómo ver todas las contraseñas de conexiones WiFi ...
- Google advierte por la creciente amenaza de empres...
- Operación Synergia de la Interpol arresta a 31 per...
- Roban 24 millones a una empresa suplantando al CEO...
- España gana el Ambassador World Cup 2023
- Cómo banear miles de direcciones IP's con ipset
- Facebook cumple 20 años
- Condenan a 40 años de cárcel al hacker que filtró ...
- Vulnerabilidad 0-day en el registro de eventos de ...
- Roban 15 millones de registros de Trello a través ...
- AnyDesk sufre una brecha de seguridad y recomienda...
- Importantes vulnerabilidades en el syslog() de la ...
- En España un ciberataque de ransomware deja sin si...
- Google cambiará el nombre de Bard a Gemini
- Google presenta ImageFX, su generador de imágenes ...
- Amazon anuncia el chatbot Rufus, un asistente de c...
- Demandan en España a Worldcoin, la empresa que esc...
- Binance filtra su código fuente e información conf...
- Microsoft ignoró avisos sobre un exploit de DALL-E...
- El impacto de la IA le está reportando millones de...
- Las SSD de 16 TB llegarán pronto
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
KeyTrap: Vulnerabilidad crítica de diseño en DNS
El Centro Nacional de Investigación en Ciberseguridad Aplicada ATHENE de Alemania ha descubierto una falla crítica en el diseño de DNSSEC (las extensiones de seguridad de DNS).
DNS es uno de los componentes fundamentales (más antiguos y vetustos) de Internet. La falla de diseño tiene consecuencias devastadoras para esencialmente todas las implementaciones de DNS que validan DNSSEC y los proveedores de DNS públicos, como Google, Cloudflare y Bind9.
El DNS evolucionó hasta convertirse en un sistema fundamental en Internet que sustenta una amplia gama de aplicaciones y facilita tecnologías nuevas y emergentes. Mediciones recientes muestran que en diciembre de 2023, el 31,47% de los clientes web en todo el mundo utilizaban solucionadores de DNS con validación DNSSEC.
DNS Sec
KeyTrap es probablemente “el peor ataque al DNS descubierto nunca”. Una denegación de servicio en servidores DNSSec (hoy se usa en un 31% de las resoluciones) y precisamente por procesar claves criptográficas. Si gestionase un dominio relevante o se atacasen varios, partes enteras de internet desaparecerían o tendrían problemas de conectividad.
Descubierto por universidades alemanas y la German National Research Center for Applied Cybersecurity, el paper todavía no es público el paper: "The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNS". En él se describe cómo se preguntaría a un servidor DNSSec vulnerable cómo resolver un dominio malicioso, que a su vez derivaría a un servidor malicioso, que le devolvería una respuesta que le llevaría a realizar cálculos tan complejos que agotaría la CPU.
En la respuesta RRSet especialmente manipulada, según la propia especificación DNSSec, debería ir todo el material criptográfico necesario para validar con éxito la integridad de la resolución.
Se ha coordinado la creación de parches entre los principales fabricantes y BIND, el software libre por excelencia. Están ya a disposición de todos. Esto mitiga el problema por cómo se valida el material, pero no el fallo de diseño que supone.
El fallo se introdujo en 1999 en la RFC 2535, ya obsoleta, y se reprodujo en la RFC 6781 y RFC 6840. En BIND está implementado desde el 2000.
El equipo de ATHENE, dirigido por la Prof. Dra. Haya Schulmann de la Universidad Goethe de Frankfurt, desarrolló "KeyTrap" [PDF], una nueva clase de ataque: con un solo paquete DNS, los atacantes podrían detener todas las implementaciones de DNS más utilizadas y los proveedores de DNS públicos.
Al preguntar a un servidor DNSSec vulnerable cómo resolver un dominio malicioso, le deriva a su vez a a un servidor malicioso, que le devolvería una respuesta que le obliga a realizar cálculos tan complejos (con "colliding keys") que agotaría la CPU
La explotación de este ataque tendría graves consecuencias para cualquier aplicación que utilice Internet, incluida la falta de disponibilidad de tecnologías como la navegación web, el correo electrónico y la mensajería instantánea.
Con KeyTrap, un atacante podría desactivar por completo gran parte de Internet en todo el mundo. Los investigadores trabajaron con todos los proveedores relevantes y los principales proveedores de DNS públicos durante varios meses, lo que dio como resultado una serie de parches específicos para cada proveedor, los últimos publicados el martes 13 de febrero. Se recomienda encarecidamente que todos los proveedores de servicios DNS apliquen estos parches inmediatamente para mitigar esta vulnerabilidad crítica.
El equipo formado de investigadores de la Universidad Técnica de Darmstadt y Fraunhofer SIT desarrolló una nueva clase de la llamada Complejidad Algorítmica. Ataques, a los que denominaron "KeyTrap". Demostraron que con un solo paquete DNS el ataque puede agotar la CPU y detener todas las implementaciones de DNS ampliamente utilizadas y los proveedores de DNS públicos, como Google Public DNS y Cloudflare.
De hecho, la popular implementación de DNS Bind9 puede permanecer detenida hasta por 16 horas. Este efecto devastador llevó a los principales proveedores de DNS a referirse a KeyTrap como "el peor ataque al DNS jamás descubierto". El impacto de los ataques KeyTrap es de gran alcance. Al explotar KeyTrap, los atacantes pueden desactivar eficazmente el acceso a Internet en cualquier sistema que utilice un solucionador de DNS con validación DNSSEC.
Los ataques KeyTrap afectan no sólo al DNS sino también a cualquier aplicación que lo utilice. La falta de disponibilidad de DNS no solo puede impedir el acceso al contenido, sino que también corre el riesgo de deshabilitar mecanismos de seguridad, como defensas antispam, infraestructuras de clave pública (PKI) o incluso seguridad de enrutamiento entre dominios como RPKI (infraestructura de clave pública de recursos).
Los defectos no son recientes. Los requisitos de vulnerabilidad ya estaban presentes en el obsoleto estándar de Internet RFC 2535 de 1999. Luego, en 2012 se abrió paso en los requisitos de implementación para la validación DNSSEC, los estándares RFC 6781 y RFC 6840.
Las vulnerabilidades han estado activas desde al menos agosto de 2000 en DNS Bind9 y se introdujeron en el código de DNS Unbound en agosto de 2007. Aunque las vulnerabilidades han existido en el estándar durante aproximadamente 25 años y en la naturaleza durante 24 años, la comunidad no las ha notado.
Esto no es sorprendente, ya que la complejidad de los requisitos de validación de DNSSEC dificultaba la identificación de las fallas. El exploit requiere una combinación de una serie de requisitos, lo que hizo que ni siquiera los expertos en DNS lo notaran.
La comunidad de seguridad tuvo experiencias similares con vulnerabilidades mucho más simples, como Heartbleed o Log4j, que estaban ahí pero nadie podía verlas y tardaron años en detectarlas y solucionarlas. DNS también ha sufrido varios problemas de diseño anteriores, como el fallo de Kaminsky, descubierto en 2008 y que permitía redirigir a un usuario a otra IP asociada a un dominio.
Desafortunadamente, a diferencia de estas vulnerabilidades, los fallos que identificó el equipo de ATHENE no son fáciles de resolver, ya que están fundamentalmente arraigadas en la filosofía de diseño de DNSSEC y no son simples errores de implementación de software.
Desde la divulgación inicial de las vulnerabilidades, el equipo ha estado trabajando con los principales proveedores para mitigar los problemas en sus implementaciones, pero parece que prevenir completamente los ataques requiere reconsiderar fundamentalmente la filosofía de diseño subyacente de DNSSEC, es decir, revisar DNSSEC. estándares.
Los vectores de ataque explotados en KeyTrap están registrados de forma general como CVE-2023-50387.
Fuente: Prleap
https://twitter.com/ssantosv/status/1758197160321941765
https://t.me/cybersecuritypulse/500
Vía:
https://blog.segu-info.com.ar/2024/02/keytrap-el-peor-ataque-al-dns-jamas.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.