مسح: ملقم DNS واحد في 10 هل "ضعيف للغاية"

تمت إضافة وحدات تستهدف الثغرة إلى أداة اختبار الاختراق والاختراق Metasploit ، على سبيل المثال. ومن المفارقات ، أن أحد خوادم نظام أسماء النطاقات الأولى التي تم اختراقها بواسطة هجوم تسمم مخبأ كان يستخدم من قبل مؤلف Metasploit ، HD Moore.

في الوقت الراهن ، فإن الترياق لعيب التسمم المخبأ هو التوزيع العشوائي للميناء. من خلال إرسال استعلامات DNS من منافذ مصدر مختلفة ، يجعل هذا الأمر من الصعب على أي مهاجم أن يخمن أي منفذ لإرسال بيانات مسمومة إلى.

ومع ذلك ، فإن هذا ليس سوى إصلاح جزئي ، حسبما حذر ليو. وقال "العشوائية في الميناء تخفف من حدة المشكلة لكنها لا تجعل الهجوم مستحيلا." "إنه بالفعل مجرد نقطة توقف على طريق فحص التشفير ، وهو ما تفعله امتدادات أمان DNSSEC.

" DNSSEC ستستغرق وقتًا أطول بكثير لتنفيذ ذلك ، حيث أن هناك الكثير من البنية الأساسية المعنية - المفتاح الإدارة وتوقيع المنطقة وتوقيع المفتاح العام ، وما إلى ذلك. وﻗد رأﯾﻧﺎ أﻧﻧﺎ ﻗد ﻧرى إﻣﮐﺎﻧﯾﺔ ﻣﻟﺣوظﺔ ﻓﻲ ﺗﺑﻧﻲ DNSSEC ھذا اﻟﻌﺎم ، ﻟﮐﻧﻧﺎ ﻻ ﻧرى ﺳوى 45 ﺳﺟل DNSSEC ﻣن ﻣﻟﯾون ﻋﯾﻧﺔ. في العام الماضي رأينا 44 ".

قال ليو إن الجانب الإيجابي ، أظهر الاستطلاع عدة بنود من الأخبار الجيدة ، على سبيل المثال ، دعم SPF - إطار سياسة المرسل ، الذي يكافح البريد الإلكتروني الخداع - ارتفعت على مدى 12 شهرا الماضية من 12.6 في المئة من المناطق التي تم أخذ عينات منها إلى 16.7 في المئة.

بالإضافة إلى ذلك ، انخفض عدد أنظمة Microsoft DNS Server غير الآمنة المتصلة بالإنترنت من 2.7 في المئة من المجموع إلى 0.17 في المئة. يمكن استخدام هذه الأنظمة داخل المؤسسات ، لكنه قال إن الشيء المهم هو أن "الناس يتهربون من توصيلهم بالإنترنت."

يتطلعون إلى الأمام ، قال ليو أن المنظمات الوحيدة التي تحتاج إلى نظام DNS متكرر مفتوح يجب أن تقوم الخوادم - والقدرة الفنية على منعهم من التعرض للفيضانات - بتشغيلها.

"أحب أن أرى النسبة المئوية للملقمات العودية المفتوحة تنخفض ، لأنه حتى إذا تم تصحيحها ، فإنهم ينتجون مكبرات صوت كبيرة لإنكارها. قال: "لا يمكننا القيام بذلك" تخلص من الخوادم العودية ، ولكن ليس عليك السماح لأي شخص باستخدامها فقط. "