Encuesta: un servidor DNS en 10 es 'trivialmente vulnerable'

Más del 10 por ciento de los servidores de DNS (Sistema de nombres de dominio) de Internet siguen siendo vulnerables a los ataques de envenenamiento de memoria caché, de acuerdo con una red mundial de servidores de nombres de Internet públicos.

Eso a pesar Han pasado varios meses desde que se revelaron las vulnerabilidades y se pusieron a disposición las soluciones, dijo el experto en DNS Cricket Liu, cuya compañía, Infoblox, encargó la encuesta anual.

"Calculamos que hay 11,9 millones de servidores de nombres y más del 40 por ciento permiten la recursión abierta, por lo que aceptan consultas de cualquier persona. De ellos, un cuarto no tiene parches. Así que hay 1.3 millones de servidores de nombres que son trivialmente vulnerables ", dijo Liu, vicepresidente de arquitectura de Infoblox.

[Más información: cómo eliminar el malware de tu Viento ows PC]

Otros servidores DNS pueden permitir la recursión, pero no están abiertos para todos, por lo que no fueron recogidos por la encuesta, dijo.

Liu dijo que la vulnerabilidad de envenenamiento de memoria caché, que a menudo lleva el nombre Dan Kaminsky, el investigador de seguridad que publicó los detalles en julio, es genuino: "Kaminsky fue explotado a los pocos días de hacerse público", dijo.

Los módulos que apuntan a la vulnerabilidad se agregaron a la herramienta Metasploit de pruebas de piratería y penetración., por ejemplo. Irónicamente, uno de los primeros servidores DNS comprometidos por un ataque de envenenamiento de memoria caché fue uno utilizado por el autor de Metasploit, HD Moore.

Por ahora, el antídoto para la falla de envenenamiento de caché es la aleatorización de puertos. Al enviar consultas DNS desde diferentes puertos de origen, esto hace que sea más difícil para un atacante adivinar a qué puerto enviar datos envenenados.

Sin embargo, esto es solo una solución parcial, advirtió Liu. "La aleatorización portuaria mitiga el problema pero no hace que un ataque sea imposible", dijo. "En realidad es solo un paso en el camino hacia la verificación criptográfica, que es lo que hacen las extensiones de seguridad DNSSEC.

" DNSSEC tardará mucho más en implementarse, ya que hay mucha infraestructura involucrada: clave administración, firma de zona, firma de clave pública, etc. Pensamos que podríamos ver una aceptación notable en la adopción de DNSSEC este año, pero solo vimos 45 registros de DNSSEC de un millón de muestras. El año pasado vimos 44. "

Liu dijo que, en el lado positivo, la encuesta arrojó varios elementos de buenas noticias. Por ejemplo, el apoyo para SPF - el marco de políticas del remitente, que combate la suplantación del correo electrónico - ha aumentó en los últimos 12 meses del 12.6 por ciento de las zonas muestreadas al 16.7 por ciento.

Además, la cantidad de sistemas de Servidor DNS Microsoft inseguros conectados a Internet ha disminuido del 2.7 por ciento del total al 0.17 por ciento. estos sistemas todavía podrían estar en uso dentro de las organizaciones, pero dijeron que lo importante es que "las personas están evitando conectarlas a Internet".

De cara al futuro, Liu dijo que solo las organizaciones con una necesidad específica de DNS recursivo abierto los servidores (y la capacidad técnica para evitar que se inunden) deberían ejecutarlos.

"Me encantaría que el porcentaje de servidores recursivos abiertos disminuya, porque incluso si están parcheados, son buenos amplificadores para la negación. "de los ataques al servicio", dijo. "No podemos deshazte de los servidores recursivos, pero no tienes que permitir que cualquiera los use ".