Более миллиона DNS-серверов все еще уязвимы
История с этой DNS-уязвимостью началась еще летом текущего года. В конце июня специалист по безопасности Дэн Каминский (Dan Kaminsky) обнаружил уязвимость в системе DNS, которая позволяла подменять IP-адреса и перенаправлять пользователей на фальшивые сайты. Атака использовала недостаточный размер поля с идентификационным номером запроса (под query id отдано 16 бит) в DNS-пакете. Через две недели после обнаружения уязвимости был разработан эксплоит для данного вида атак. Автор эксплоита сообщил, что программе требуется от одной до двух минут, чтобы внедрить запись в кэш DNS-сервер. Сам Дэн Камински считает, что теоретически взломать DNS-сервер через эту дыру можно за несколько секунд. Обезопасить свой DNS-сервер можно было установкой обновлений для BIND. А на этой странице можно проверить, подвержен ли конкретный DNS-сервер уязвимости.
Между тем, почти через полгода после обнаружения этой уязвимости более 10% DNS-серверов остаются потенциально уязвимыми для новых атак. Это означает, что приблизительно 1,3 миллиона DNS-серверов не содержат обновленных патчей для устранения этой и других уязвимостей.
"Это означает, что люди, посещающие эти сайты, то есть использующие имена этих серверов, находятся в очень опасной ситуации", - сказал Крикет Лиу (Cricket Liu), вице-президент по архитектуре компании Infoblox и автор нескольких книг по компьютерной безопасности.
На самом деле, уязвимых серверов гораздо больше. Специалисты считают, что около 44% DNS-серверов могут быть использованы злоумышленниками для атак и, в частности, для перенаправления пользовательского трафика и доступа к другим сайтам
Причиной подобных атак являются запросы к DNS-серверам, работающим в роли рекурсивного резолвера. Поместив в кэш DNS сервера некорректный IP для резолвинга определенного домена, злоумышленник может таким образом добиться того, что при последующем запросе информации о заданном хосте пользователь получит неверный адрес DNS-сервера. Из 44% рекурсивных DNS-серверов около 25% являются уязвимыми для такого рода атак.
Эти данные являются результатом ежегодного отчета об анализе DNS-серверов компании Infoblox. Для анализа используются случайно выбранные 99,3 млн. IP-адресов и DNS- серверов в доменных зонах .COM и. NET.
Способом решения проблемы уязвимостей в рекурсивных DNS-серверах является система DNSSEC – система защиты доменных имен. Она позволяет обеспечить переход на нужный пользователю ресурс точно по набранному в адресной строке адресу без перенаправления на другие сайты.
- 11.11.2008 в 13:08
- 9 голосов
- одобрить
- утопить
- 0 комментариев
на своём сайте!