Průzkum: Jeden DNS server z 10 je "triviálně zranitelný"

. to je několik měsíců od okamžiku, kdy byly zranitelnosti zpřístupněny a opravy zpřístupněny, uvedl odborník DNS Cricket Liu, jehož společnost Infoblox zadala roční průzkum.

"Odhadujeme, že tam je 11,9 milionů jmenných serverů a více než 40 procent umožňuje otevřenou recursion, takže přijmou dotazy od kohokoliv, z nichž čtvrtina není patched.And there are 1.3 milionů nameserverů, které jsou triviálně zranitelné, "řekl Liu, který je viceprezident architektury Infobloxu

[Další čtení: Jak odstranit malware z vašeho větru Ows PC

Ostatní servery DNS mohou dovolit rekurzi, ale nejsou otevřené všem, takže nebyly zjištěny v průzkumu.

Liu řekl, že chyba zabezpečení, která je často nazvána Dan Kaminsky, bezpečnostní vědec, který zveřejnil podrobnosti v červenci, je opravdový: "Kaminský byl vyčerpán během několika dnů od jeho zveřejnění."

Moduly zaměřené na tuto chybu byly přidány do testovacího a penetračního testovacího nástroje Metasploit, například. Je ironií, že jeden z prvních serverů DNS, který byl napaden útokem proti otravě cache, byl používán autorkou společnosti Metasploit, HD Moore.

Prozatím je protilátkou k chybě při otrave v mezipaměti přístavní randomizace. Odesíláním dotazy DNS z různých zdrojových portů to pro útočníka snáze hádá, který port by měl odeslat otrávená data.

Nicméně je to pouze částečná oprava, varovala Liu. "Randomizace portů zmírňuje problém, ale nečiní útok nemožným," řekl. "Je to opravdu jen stopgap na cestě ke kryptografické kontrole, což je to, co dělají bezpečnostní rozšíření DNSSEC."

"DNSSEC však bude trvat mnohem déle, než je implementace, protože je zde spousta infrastruktury - klíč správa, podpisová zóna, podpis veřejného klíče a tak dále. Mysleli jsme si, že v letošním roce by mohlo dojít k znatelnému převzetí v přijetí DNSSEC, ale z jediného milionu vzorků jsme zaznamenali pouze 45 záznamů DNSSEC. V loňském roce jsme viděli 44. "

Liu uvedl, že na pozitivní straně se v průzkumu objevily několik dobrých zpráv. Například podpora SPF - rámce politiky pro odesílatele, který bojuje proti spoofingu e-mailů - v posledních 12 měsících vzrostl z 12,6% zón na 16,7%.

Kromě toho se počet nezabezpečených systémů Microsoft DNS Server připojených k internetu snížil z 2,7% z celkového počtu na 0,17%. tyto systémy by se mohly stále používat uvnitř organizací, ale řekl, že je důležité, že "lidé se vyhýbají propojení s internetem."

Liu očekává, že pouze organizace s specifickou potřebou otevřeného rekurzivního DNS servery - a technická schopnost zabránit jejich zaplaveni - by je měly spouštět.

"Rád bych viděl, jak procento otevřených rekurzivních serverů klesá, protože i když jsou patched, dělají skvělé zesilovače pro popření útoky na služby, "řekl." Nemůžeme zbavit se rekurzivních serverů, ale nemusíte dovolit, aby je někdo mohl použít. "