Инфраструктура интернета работает на старом софте // 06 Декабря 2012

Многие серверы DNS (а их в интернете около 7,5 млн) неправильно сконфигурированы или работают на старых версиях ПО, что делает их уязвимыми для внешних атак.

Такие выводы опубликованы в новом отчете компании The Measurement Factory. По результатам исследования выяснилось, например, что на каждом пятом сервере установлена не 9-я, а более ранняя версия программы BIND. Именно эта программа осуществляет преобразование имен (например, yahoo.com) в IP-адреса (например, 66.94.234.13). Такие серверы, фактически, оставляют «открытую калитку» для доступа к кэшу DNS, и эту возможность используют хакеры, подменяя учетные записи во время фишинга.

BIND 9.3, 9.2, 9.1 — 57%.
BIND 8.3, 8.2, 8.1 — 20%.
Windows 2000 — 6,5%.
Windows 2003 — 3,5%.
Другие — 13%.

Как видим, только на 57% серверов DNS установлена последняя, самая защищенная версия BIND 9.X. Но даже в этом случае нет гарантии, что DNS-сервер правильно сконфигурирован.

Исследование также выявило, что около 75% всех DNS-серверов в интернете, то есть примерно 1,3 млн, разрешают перенаправление DNS-запросов при запросах с любого IP-адреса. На самом деле эта функция должна быть разрешена только для списка известных IP, с которых поступает запрос, иначе злоумышленники получают возможность проводить атаки типа DoS и менять содержимое записей (cache poisoning).

Более 40% серверов поддерживают функцию «передачи зоны» для запросов с любых IP-адресов. Функция «передачи зоны» (zone transfer) выполняет копирование целого списка IP-адресов, принадлежащих организации, с одного DNS-сервера на другой. Это тоже дает возможность проводить атаки типа DoS и дает злоумышленникам информацию о внутренних сетях.

В общей сложности незащищенными признаны до 84% всех серверов в системе DNS. Они уязвимы для той или иной атаки.

Источник: Webplanet