Опрос: один DNS-сервер в 10 «тривиально уязвим»

Более 10 процентов DNS-серверов DNS (Domain Name System) по-прежнему уязвимы для атак с отравлением кэш-памяти, согласно мировому обзору публичных интернет-серверов.

Это несмотря на через несколько месяцев после того, как были раскрыты уязвимости и были сделаны исправления, сказал эксперт по DNS Крикет Лю, чья компания Infoblox заказала ежегодный опрос.

«Мы оцениваем, что там 11,9 млн. серверов, и более 40% разрешают открытую рекурсию, поэтому они принимают запросы от кого-либо, из них четверть не пропатчена. Таким образом, существует 1,3 миллиона серверов имен, которые являются тривиально уязвимыми », - сказал Лю, который является вице-президентом Infoblox по архитектуре.

[Дополнительная информация: Как удалить вредоносное ПО от твоего ветра ows PC]

Другие DNS-серверы вполне могут позволить рекурсию, но не открыты для всех, поэтому они не были подобраны опросом, сказал он.

Лю сказал, что уязвимость, связанная с использованием кэша, которая часто называется Дэн Каминский, исследователь безопасности, который опубликовал подробные сведения об этом в июле, является подлинным: «Каминский был эксплуатирован в течение нескольких дней после обнародования», - сказал он.

Модули, нацеленные на уязвимость, были добавлены в инструмент тестирования взлома и проникновения Metasploit, например. По иронии судьбы, один из первых DNS-серверов, скомпрометированных атакой отравления кешами, был использован автором Metasploit HD Moore.

В настоящее время противоядие от недостатка в отношении кэш-памяти - это рандомизация порта. Отправляя DNS-запросы из разных исходных портов, это затрудняет для злоумышленника догадываться, какой порт отправляет отравленные данные.

Однако это лишь частичное исправление, предупреждающее Лю. «Рандомизация порта смягчает проблему, но она не делает атаку невозможной», - сказал он. «На самом деле это просто остановка на пути к криптографической проверке, и это то, что делают расширения безопасности DNSSEC.

« DNSSEC собирается пройти намного дольше, чтобы реализовать, поскольку есть много задействованной инфраструктуры - ключ управление, подписка на зоны, подписание открытого ключа и т. д. Мы думали, что в этом году мы увидим заметное восприятие DNSSEC, но мы увидели только 45 записей DNSSEC из миллиона образцов. В прошлом году мы увидели 44 ».

Лю сказал, что с положительной стороны в опросе появилось несколько хороших новостей. Например, поддержка SPF - рамки политики отправителя, которая борется с подменой электронной почты - выросла за последние 12 месяцев с 12,6% зон, отобранных до 16,7%.

Кроме того, количество незащищенных систем Microsoft DNS Server, подключенных к Интернету, снизилось с 2,7% от общего числа до 0,17%. Лю отметил, что эти системы могут все еще использоваться внутри организаций, но говорят, что важно то, что «люди уклоняются от подключения к Интернету».

В ожидании, Лю сказал, что только организации с определенной потребностью в открытой рекурсивной DNS серверы - и техническая возможность держать их от затопления - должны запускать их.

«Мне бы очень хотелось, чтобы процент открытых рекурсивных серверов снизился, потому что даже если они исправлены, они делают большие усилители для отказа - сказал он. - Мы не можем избавиться от рекурсивных серверов, но вам не нужно позволять кому-либо их использовать ».