Более 10% DNS-серверов до сих пор уязвимы

Несколько месяцев прошло после обнаружения уязвимости в системе DNS, позволяющей управлять просмотром сайта пользователями. Однако, несмотря высказанный крупнейшими компаниями призыв обновить программное обеспечение серверов, более миллиона из них остаются уязвимыми. А это означает, что практически любой интернет-пользователь не может себя чувствовать безопасно во время интернет-серфинга и быть уверенным в том, что он посещает именно те сайты, которые ему нужны, а не сайты-обманки.

История с этой DNS-уязвимостью началась еще летом текущего года. В конце июня специалист по безопасности Дэн Каминский (Dan Kaminsky) обнаружил уязвимость в системе DNS, которая позволяла подменять IP-адреса и перенаправлять пользователей на фальшивые сайты. Атака использовала недостаточный размер поля с идентификационным номером запроса (под query id отдано 16 бит) в DNS-пакете. Через две недели после обнаружения уязвимости был разработан эксплоит для данного вида атак. Автор эксплоита сообщил, что программе требуется от одной до двух минут, чтобы внедрить запись в кэш DNS-сервер. Сам Дэн Камински считает, что теоретически взломать DNS-сервер через эту дыру можно за несколько секунд. Обезопасить свой DNS-сервер можно было установкой обновлений для BIND.

Между тем, почти через полгода после обнаружения этой уязвимости более 10% DNS-серверов остаются потенциально уязвимыми для новых атак. Это означает, что приблизительно 1,3 миллиона DNS-серверов не содержат обновленных патчей для устранения этой и других уязвимостей.

"Это означает, что люди, посещающие эти сайты, то есть использующие имена этих серверов, находятся в очень опасной ситуации", - сказал Крикет Лиу (Cricket Liu), вице-президент по архитектуре компании Infoblox и автор нескольких книг по компьютерной безопасности.

На самом деле, уязвимых серверов гораздо больше. Специалисты считают, что около 44% DNS-серверов могут быть использованы злоумышленниками для атак и, в частности, для перенаправления пользовательского трафика и доступа к другим сайтам

Причиной подобных атак являются запросы к DNS-серверам, работающим в роли рекурсивного резолвера. Поместив в кэш DNS сервера некорректный IP для резолвинга определенного домена, злоумышленник может таким образом добиться того, что при последующем запросе информации о заданном хосте пользователь получит неверный адрес DNS-сервера. Из 44% рекурсивных DNS-серверов около 25% являются уязвимыми для такого рода атак.

Эти данные являются результатом ежегодного отчета об анализе DNS-серверов компании Infoblox. Для анализа используются случайно выбранные 99,3 млн. IP-адресов и DNS- серверов в доменных зонах .COM и. NET.

Способом решения проблемы уязвимостей в рекурсивных DNS-серверах является система DNSSEC – система защиты доменных имен. Она позволяет обеспечить переход на нужный пользователю ресурс точно по набранному в адресной строке адресу без перенаправления на другие сайты.