חבילת DNS בודדת יכולה למצות את יכולת העיבוד של שרת DNS פגיע ולמעשה, להשבית את המכונה על ידי ניצול פגם בן יותר מ- 20 שנים במפרט DNSSEC. מה זה DNSSEC? – שרתי DNS משמשים דפדפנים ותוכנות אחרות כדי להפוך שמות דומיינים לידידותיים, כמו theregister[.]com. שרתי DNS מנוהלים על ידי ארגונים שונים, ממחלקות IT ועד ספקיות אינטרנט בייתי. DNS אינו מאובטח מכיוון שהוא שולח שאילתות ותגובות ברשתות בטקסט רגיל, מה שמאפשר לשנות את הנתונים הללו כדי להפנות את החיבור מהדומיין למערכות זדוניות. DNSSEC, הידוע גם בשם Domain Name System Security Extensions, הינו שדרוג ל- DNS בכך שהוא משתמש בהצפנה כדי להבטיח שתוצאות השאילתות לא תשובשנה על ידי גורמים זדוניים.
חוקרי הסייבר אשר מצאו את הפגם הזה קשורים למרכז המחקר הלאומי הגרמני לאבטחת סייבר יישומית (ATHENE) בדרמשטאדט, טענו שיצרניות תוכנת שרתי DNS מתארים את הפגיעות כמתקפה הגרועה ביותר על DNS שהתגלתה אי פעם. פגם האבטחה קיבל את השם KeyTrap, סומן CVE-2023-50387 והוקצה לו דירוג חומרת CVSS של 7.5 מתוך 10.
נכון לדצמבר 2023, כ- 31 אחוזים מלקוחות האינטרנט ברחבי העולם משתמשים ב- DNSSEC-Resolver-DNS וכמו יישומים אחרים המסתמכים על מערכות אלו, ירגישו את ההשפעות של מתקפת KeyTrap: כאשר שרתי ה- DNS נפגעים כתוצאה מהפגם, לקוחות לא יכולים ליצר את שמות הדומיין והמארחים לכתובות IP שימושיים וכתוצאה מכך, נוצר אובדן קישוריות. חוקרי הסייבר טוענים כי חבילות DNS בודדות המנצלות את KeyTrap יכולות לעכב שירותי DNS ציבוריים מאומתים על ידי DNSSEC, כמו אלו המסופקים על ידי גוגל ו- Cloudflare, על ידי כך שהם מבצעים חישובים אשר גורמים לעומס יתר על ליבות המעבד של השרת. השיבוש הזה של ה- DNS לא מסוגל רק למנוע מאנשים את הגישה לתוכן, אלא גם להפריע למערכות אחרות כמו הגנות דואר זבל, הגנות קריפטוגרפיות (PKI) ואבטחת ניתוב בין-דומיינים (RPKI).
