Pesquisa: Um servidor DNS em 10 é 'vulnerável trivialmente'

Mais de 10% dos servidores DNS (Domain Name System) da Internet ainda estão vulneráveis ​​a ataques de envenenamento de cache, segundo um levantamento mundial de servidores de nomes da Internet voltados para o público. Faz vários meses desde que as vulnerabilidades foram divulgadas e correções foram disponibilizadas, disse o especialista em DNS Cricket Liu, cuja empresa, a Infoblox, encomendou a pesquisa anual.

"Estimamos que há 11,9 milhões de servidores de nomes e mais de 40% permitem recursão aberta, então eles aceitam consultas de qualquer pessoa. Desses, um quarto não é corrigido. Portanto, há 1,3 milhão de servidores de nomes que são trivialmente vulneráveis ​​", disse Liu, que é vice-presidente de arquitetura da Infoblox.

do seu vento Outros servidores DNS podem permitir a recursão, mas não estão abertos a todos, então eles não foram apanhados pela pesquisa, disse ele.

Liu disse que a vulnerabilidade de envenenamento de cache, que é muitas vezes nomeado após Dan Kaminsky, o pesquisador de segurança que publicou detalhes em julho, é genuíno: "Kaminsky foi explorado poucos dias depois de se tornar público", afirmou.

Os módulos que visam a vulnerabilidade foram adicionados à ferramenta de testes de invasão e hackers Metasploit., por exemplo. Ironicamente, um dos primeiros servidores DNS comprometidos por um ataque de envenenamento de cache foi aquele usado pelo autor do Metasploit, HD Moore.

Por enquanto, o antídoto para a falha de envenenamento de cache é a randomização de portas. Ao enviar consultas DNS de várias portas de origem, isso torna mais difícil para um invasor adivinhar para qual porta enviar dados infectados.

No entanto, isso é apenas uma correção parcial, avisou Liu. "A randomização de portas atenua o problema, mas não torna impossível um ataque", disse ele. "É realmente apenas um paliativo no caminho para a verificação criptográfica, que é o que as extensões de segurança DNSSEC fazem.

" O DNSSEC vai levar muito mais tempo para implementar, já que há muita infraestrutura envolvida - chave gerenciamento, assinatura de zona, assinatura de chave pública e assim por diante. Achamos que poderíamos ver uma aceitação notável na adoção do DNSSEC este ano, mas vimos apenas 45 registros de DNSSEC em um milhão de amostras. No ano passado, vimos 44. "

Liu disse que, do lado positivo, a pesquisa revelou vários itens de boas notícias. Por exemplo, o apoio ao SPF - a estrutura de políticas do remetente, que combate a falsificação de e-mails - aumentou nos últimos 12 meses de 12,6% das zonas amostradas para 16,7%.

Além disso, o número de sistemas Microsoft DNS Server inseguros conectados à Internet caiu de 2,7% do total para 0,17%. Liu observou que Esses sistemas ainda poderiam estar em uso dentro das organizações, mas disseram que o importante é que "as pessoas estão evitando conectá-las à Internet".

Olhando para o futuro, Liu disse que apenas organizações com uma necessidade específica de DNS recursivo aberto servidores - e a capacidade técnica de impedi-los de serem inundados - devem executá-los.

"Eu adoraria ver a porcentagem de servidores recursivos abertos cair, porque mesmo que eles sejam corrigidos, eles são ótimos amplificadores para negação ataques ", disse ele." Não podemos livrar-se de servidores recursivos, mas você não precisa permitir que apenas alguém os use. "