Undersøkelse: En DNS-server på 10 er "trivielt sårbar"

Mer enn 10 prosent av DNS-serverne i DNS (Domain Name System) er fortsatt sårbare for cache-forgiftningsangrep, ifølge en verdensomspennende oversikt over Internett-navneservere fra offentlig side.

Det er til tross for Det var flere måneder siden sårbarhetene ble avslørt, og fikser ble gjort tilgjengelig, sa DNS-ekspert Cricket Liu, hvis firma Infoblox, den årlige undersøkelsen.

"Vi anslår at det er 11,9 millioner navneservere der ute, og over 40 prosent tillater åpen rekursjon, så de aksepterer spørringer fra noen. Av dem er kvart ikke patched. Så det er 1,3 millioner navneservere som er trivielt sårbare, sier Liu, hvem er Infobloxs visepresident for arkitektur.

[Videre lesing: Slik fjerner du skadelig programvare fra vinden din ows PC]

Andre DNS-servere kan godt tillate rekursjon, men er ikke åpne for alle, så de ble ikke hentet av undersøkelsen, sa han.

Liu sa cache-forgiftningssårbarheten, som ofte er oppkalt etter Dan Kaminsky, sikkerhetsforsker som offentliggjorde detaljer om det i juli, er ekte: "Kaminsky ble utnyttet innen dager etter å bli offentliggjort," sa han.

Moduler som retter seg mot sårbarheten, er blitt lagt til verktøyet for hacking og penetrasjonstesting Metasploit, for eksempel. Ironisk nok var en av de første DNS-serverne som ble kompromittert av et cache-forgiftningsangrep, en som ble brukt av Metasploits forfatter, HD Moore.

For øyeblikket er motgiftene til cachefisningsfeil port-randomisering. Ved å sende DNS-spørringer fra forskjellige kildeporte, gjør dette det vanskeligere for en angriper å gjette hvilken port som skal sende forgiftet data til.

Dette er imidlertid bare en delvis løsning, advarte Liu. "Port-randomisering reduserer problemet, men det gjør ikke et angrep umulig," sa han. "Det er egentlig bare et stopp på vei til kryptografisk kontroll, noe som gjør DNSSEC sikkerhetsutvidelser.

" DNSSEC kommer til å ta mye lenger tid å implementere, da det er mye infrastruktur involvert - nøkkel ledelse, sone signering, offentlig nøkkel signering, og så videre. Vi trodde vi kunne se en merkbar opptak i DNSSEC adopsjon i år, men vi så bare 45 DNSSEC-poster ut av en million eksemplarer. I fjor så vi 44. "

Liu sa at på positiv side viste undersøkelsen flere gode nyheter. For eksempel, støtte til SPF - avsenderpolitikkrammen, som bekjemper e-postspoofing - har økte de siste 12 månedene fra 12,6 prosent av sonene samplet til 16,7 prosent.

I tillegg har antall usikre Microsoft DNS Server-systemer koblet til Internett falt fra 2,7 prosent av totalt til 0,17 prosent. Liu bemerket at Disse systemene kan fortsatt godt brukes i organisasjoner, men det er viktig at "folk skygger bort fra å koble dem til Internett."

Liu sa frem til at bare organisasjoner med et spesifikt behov for åpen rekursiv DNS servere - og den tekniske evnen til å hindre at de oversvømmes - burde kjøre dem.

"Jeg vil gjerne se prosentandelen av åpne rekursive servere gå ned, for selv om de er lappede, gjør de store forsterkere for fornektelse -of-service angrep, "sa han." Vi kan ikke bli kvitt rekursive servere, men du trenger ikke bare tillate noen å bruke dem. "