Enquête: un serveur DNS sur 10 est «trivialement vulnérable»

Plus de 10% des serveurs DNS (Domain Name System) d'Internet sont toujours vulnérables aux attaques d'empoisonnement de cache, selon un réseau mondial de serveurs de noms Internet publics.

Il a fallu plusieurs mois pour que les vulnérabilités soient divulguées et mises à disposition, a déclaré l'expert DNS Cricket Liu, dont l'entreprise, Infoblox, a commandé l'enquête annuelle.

"Nous estimons qu'il y a 11,9 millions de serveurs de noms et plus de 40% Ils acceptent donc les requêtes de n'importe qui, parmi lesquelles un quart ne sont pas corrigés, donc 1,3 million de serveurs de noms sont trivialement vulnérables », explique Liu, vice-président de l'architecture chez Infoblox. de votre vent ows PC]

D'autres serveurs DNS peuvent permettre la récursivité, mais ils ne sont pas ouverts à tous, donc ils n'ont pas été récupérés par l'enquête, a-t-il dit.

Liu a dit la vulnérabilité cache-poisoning Dan Kaminsky, le chercheur en sécurité qui en a publié les détails en juillet, est sincère: "Kaminsky a été exploité quelques jours après avoir été rendu public."

Des modules ciblant la vulnérabilité ont été ajoutés à l'outil de test de piratage et d'intrusion Metasploit, par exemple. Ironiquement, l'un des premiers serveurs DNS compromis par une attaque d'empoisonnement de cache était celui utilisé par l'auteur de Metasploit, HD Moore.

Pour l'instant, l'antidote à la faille d'empoisonnement de cache est la randomisation de port. En envoyant des requêtes DNS à partir de différents ports source, il est plus difficile pour un attaquant de deviner quel port envoyer des données empoisonnées.

Cependant, ce n'est qu'une correction partielle, a averti Liu. "La randomisation du port atténue le problème mais ne rend pas une attaque impossible", a-t-il déclaré. «C'est vraiment une solution de rechange à la vérification cryptographique, comme le font les extensions de sécurité DNSSEC.

Liu a indiqué que l'aspect positif était que l'enquête avait révélé plusieurs bonnes nouvelles: par exemple, le soutien à SPF - le cadre politique de l'expéditeur, qui lutte contre l'usurpation d'e-mails - a Au cours des 12 derniers mois, le pourcentage est passé de 12,6% à 16,7%.

En outre, le nombre de systèmes Microsoft DNS Server non sécurisés connectés à Internet est passé de 2,7% du total à 0,17%. Ces systèmes pourraient bien encore être utilisés dans les organisations, mais l'important est que "les gens hésitent à les connecter à Internet".

Dans l'avenir, Liu a déclaré que seules les organisations ayant un besoin spécifique de DNS récursif ouvert

"J'aimerais voir le pourcentage de serveurs récursifs ouverts diminuer, car même s'ils sont patchés, ils font de bons amplificateurs pour le déni. attaques ", a-t-il dit." Nous ne pouvons pas Débarrassez-vous des serveurs récursifs, mais vous n'avez pas besoin de permettre à quiconque de les utiliser. "