Enquête: één DNS-server in 10 is 'triviaal kwetsbaar'

Meer dan 10 procent van de DNS (Domain Name System) -servers van het internet is nog steeds kwetsbaar voor cache-vergiftigingsaanvallen, volgens een wereldwijd netwerk van openbare internet-nameservers.

Dat is ondanks het is enkele maanden geleden dat de kwetsbaarheden zijn onthuld en er zijn fixes beschikbaar gemaakt, zei DNS-expert Cricket Liu, wiens bedrijf, Infoblox, de jaarlijkse enquête heeft laten uitvoeren.

"We schatten dat er 11,9 miljoen nameservers zijn en meer dan 40 procent open recursie, dus accepteren ze vragen van iedereen, daarvan is een kwart niet gepatcht, dus er zijn 1,3 miljoen naamservers die triviaal kwetsbaar zijn, "zei Liu, de vice-president van architectuur van Infoblox.

[Lees meer: ​​Hoe malware verwijderen van je Wind ows PC]

Andere DNS-servers kunnen recursie goed toestaan, maar zijn niet voor iedereen toegankelijk, dus werden ze niet opgepikt door de enquête, zei hij.

Liu zei dat de cache-toxis kwetsbaarheid, die vaak naar Dan Kaminsky, de beveiligingsonderzoeker die er in juli details over heeft gepubliceerd, is oprecht: "Kaminsky werd binnen enkele dagen na publicatie ervan geëxploiteerd", zei hij.

Modules gericht tegen de kwetsbaarheid zijn toegevoegd aan de hacking and penetration testing tool Metasploit, bijvoorbeeld. Ironisch genoeg was een van de eerste DNS-servers aangetast door een cache-vergiftigingsaanval een aanval van Metasploit's auteur, HD Moore. Voorlopig is het tegengif voor de fout in de cache-vergiftiging poort-randomisatie. Door DNS-query's vanuit verschillende bronpoorten te verzenden, is het hierdoor moeilijker voor een aanvaller om te raden naar welke poort de vergiftigde gegevens moeten worden verzonden.

Dit is echter slechts een gedeeltelijke oplossing, waarschuwde Liu. "Port randomisatie verzacht het probleem, maar het maakt een aanval niet onmogelijk", zei hij. "Het is eigenlijk gewoon een noodoplossing op weg naar cryptografische controle, dat is wat de DNSSEC-beveiligingsextensies doen.

" DNSSEC zal veel langer duren om te implementeren, omdat er veel infrastructuur bij betrokken is. beheer, zone-ondertekening, ondertekening van openbare sleutels, enzovoort. We dachten dat we dit jaar een merkbare acceptatie zouden zien in de acceptatie van DNSSEC, maar we zagen slechts 45 DNSSEC-records van een miljoen exemplaren. Vorig jaar zagen we er 44. "

Liu zei dat de positieve kant van de enquête een aantal goede nieuwsberichten opleverde. Zo heeft bijvoorbeeld ondersteuning voor SPF - het kader voor het afzenderbeleid, dat e-mail spoofing bestrijdt - de afgelopen 12 maanden gestegen van 12,6 procent van de bemonsterde zones naar 16,7 procent.

Bovendien is het aantal onveilige Microsoft DNS Server-systemen dat met internet is verbonden gedaald van 2,7 procent van het totaal naar 0,17 procent. deze systemen zouden nog steeds in gebruik kunnen zijn binnen organisaties, maar het belangrijkste is dat "mensen schrikken om ze met internet te verbinden".

Vooruitkijkend zei Liu dat alleen organisaties met een specifieke behoefte aan open recursieve DNS servers - en het technische vermogen om te voorkomen dat ze overstroomd worden - zouden ze moeten uitvoeren.

"Ik zou graag zien dat het percentage open recursieve servers daalt, want zelfs als ze zijn gepatcht, zijn ze geweldige versterkers voor ontkenning aanvallen ", zei hij." Dat kunnen we niet ontdoen van recursieve servers, maar je hoeft niet zomaar iemand toe te staan ​​om ze te gebruiken. "