Survey: Yksi DNS-palvelin kymmenessä on "trivially vulnerable"

Yli 10 prosenttia Internetin DNS (Domain Name System) -palvelimista on edelleen haavoittuvaisia ​​välimuistitöihin, kuten julkisten Internet-nimipalvelimien maailma on.

Tämä on huolimatta joka on useita kuukausia, koska haavoittuvuudet paljastettiin ja korjaukset asetettiin saataville, sanoi DNA-asiantuntija Cricket Liu, jonka yritys Infoblox tilasi vuotuisen kyselyn.

"Arvioimme, että siellä on 11,9 miljoonaa nimipalvelinta, ja yli 40 prosenttia mahdollistaa avoimen rekursiivisyyden, joten he hyväksyvät kyselyitä keneltä tahansa, heistä neljännes ei ole patched, joten on olemassa 1,3 miljoonaa nimipalvelinta, jotka ovat triviaalisesti haavoittuvia ", sanoi Liu, joka on Infobloxin arkkitehtuurin varapuheenjohtaja.

[Lue lisää: tuulta ower PC]

Muut DNS-palvelimet saattavat sallia rekursiota, mutta eivät ole avoimia kaikille, joten ne eivät ole ottaneet yhteyttä kyselyyn.

Liu sanoi, että välimuistin haavoittuvuus, jonka nimi on usein Dan Kaminsky, tietoturva-tutkija, joka julkaisi tiedot heinäkuussa, on aito: "Kaminskyä hyödynnettiin päiviä julkistamisen jälkeen".

Haavoittuvuuteen kohdistuvat moduulit on lisätty hakkerointi- ja tunkeutumisen testaustyökaluihin Metasploit, esimerkiksi. Ironista kyllä, yksi ensimmäisistä DNS-palvelimista, joihin kätilöimyrkytys hyökkäsi, oli yksi, jota Metasploitin kirjoittaja, HD Moore on käyttänyt.

Nykyään välimuisti-myrkytyksen vasta-aine on port satunnaistettu. Lähettämällä DNS-kyselyjä eri lähdesatamilta tämä vaikeuttaa hyökkääjän arvaamaan porttia, joka lähettää myrkytystietoja.

Tämä on kuitenkin vain osittainen korjaus, Liu varoitti. "Port satunnaistoiminto lieventää ongelmaa, mutta se ei tee hyökkäystä mahdottomaksi", hän sanoi. "Se on oikeastaan ​​vain pysähdyspaikka salaustarkastuksissa, kuten DNSSEC-tietoturvapäätteet.

" DNSSEC aikoo viedä paljon pidemmäksi aikaa, vaikka se sisältää paljon infrastruktuuria - avain hallinta, vyöhykkeen allekirjoittaminen, julkisen avaimen allekirjoitus jne. Ajattelimme, että DNSSEC: n hyväksyminen tänä vuonna saataisiin havaittavaksi, mutta näimme vain 45 DNSSEC-ennätystä miljoonasta näytteestä. Viime vuonna näimme 44. "

Liu sanoi, että positiivisella puolella kyselyssä oli useita hyviä uutisia. Esimerkiksi SPF: n tuki - lähettäjän politiikan puitteet, jotka torjuttavat sähköpostin väärinkäyttöä - ovat nousi viimeisten 12 kuukauden aikana 12,6 prosentista vyöhykkeistä otokseen 16,7 prosenttiin.

Lisäksi Internetiin liitettyjen epävarmojen Microsoft DNS Server -järjestelmien määrä on laskenut 2,7 prosentista kokonaismäärästä 0,17 prosenttiin. nämä järjestelmät voisivat silti olla käytössä organisaatioissa, mutta sanottiin tärkeäksi, että "ihmiset hajoavat liittymästä Internetiin."

Liu sanoi, että vain organisaatiot, joilla on erityinen tarve avoimelle rekursiiviselle DNS: lle

"Haluaisin nähdä, että avointen rekursiivisten palvelimien prosenttiosuus laskee, koska vaikka heidät paikoillaan, he tekevät suuria vahvistimia kieltämiseen -palvelu-hyökkäyksiä ", hän sanoi." Emme voi päästä eroon rekursiivisista palvelimista, mutta sinun ei tarvitse antaa kenenkään käyttää niitä. "