Resumen del tema DNS al día de hoy (por Kriptopolis)
Los DNS de los mayores proveedores de Internet del mundo también siguen siendo vulnerables
Al menos eso dice hoy un artículo en The Register, que refleja una situación bastante similar a la de los proveedores de nuestro propio país. En concreto The Register califica como vulnerables (mediante el test de Kaminsky) a AT&T, BT, Time Warner y Bell Canada, así como a más de una decena de otros proveedores.
La burocracia interna podría ser una de las causas de la lentitud con que se está realizando la aplicación de parches en las grandes empresas. Según algunos expertos, la mera aprobación administrativa de la aplicación de un parche tan importante podría requerir un mes, y la actualización en organizaciones muy grandes requeriría probar sucesivamente diferentes configuraciones e irlas deshaciendo hasta dar con la más apropiada. Sin embargo, para la mayoría de empresas la actualización se limita a la aplicación de un parche en su servidor, a excepción de las que aún utilizan BIND 8, que han de actualizarse previamente a BIND 9...
Otro test para la vulnerabilidad en DNS
Este test de DNS-OARC resulta más detallado que otros y muestra sus resultados de forma gráfica, aunque también requiere esperar los resultados algunos segundos más.
Informa por separado de la aleatoriedad de los dos factores implicados en la vulnerabilidad:
Publicados varios exploits para vulnerabilidad DNS
El genio está fuera de la botella. Los administradores que a pesar del aviso del pasado día 9 aún no hayan aplicado los corrrespondientes parches para sus servidores DNS, están ahora en serio riesgo de que sus dominios puedan ser redirigidos a cualquier sitio. El propio Kaminsky insiste en que se parchee o se utilice OpenDNS.
Y no se necesita mucho tiempo ni esfuerzo para provocar el desastre. H.D. Moore calcula que bastan 1-2 minutos para "envenenar" un caché y Kaminsky estima que sólo se necesitan unos segundos.
Mención especial merecen los usuarios de routers que ejecutan OpenWRT. Como avisamos en su día, su servicio DNS estándar (dnsmasq) también está tocado, y para colmo de males el parche que resuelve el problema (actualización 2.43) contiene un error que puede provocar la pérdida de algunos paquetes DHCP...
La gente de www.caughq.org ya ha publicado un exploit.
Comprobando vulnerabilidad DNS desde Windows
Hace unos días publiqué, en forma de comentario, cómo podíamos verificar si nuestros servidores DNS (o los de nuestro proveedor) seguían siendo vulnerables, utilizando para ello comandos de Linux y UNIX.
Hoy, la misma fuente nos ofrece un sistema similar para comprobar la vulnerabilidad, pero desde la línea de comandos de Windows...
En este caso los comandos que podemos emplear son los siguientes:
En cualquiera de los casos, en la respuesta ha de aparecer la palabra GOOD si nuestro DNS está a salvo de ataques.
Fuentes:
http://www.kriptopolis.org/grandes-isp-siguen-vulnerables-dns
http://www.kriptopolis.org/nuevo-test-vulnerabilidad-dns
http://www.kriptopolis.org/publican-exploits-vulnerabilidad-dns
http://www.kriptopolis.org/comprobar-vulnerabilidad-dns-en-windows
http://www.kriptopolis.org/node/6242/38670#comment-38670
http://www.theregister.co.uk/2008/07/25/isps_slow_to_patch/
http://www.heise-online.co.uk/security/DNS-vulnerability-exploits-released--/news/111168
http://www.cyberciti.biz/tips/windows-verify-dns-cache-posinging-bug.html
https://www.dns-oarc.net/oarc/services/dnsentropy
http://www.caughq.org/exploits/CAU-EX-2008-0002.txt
Al menos eso dice hoy un artículo en The Register, que refleja una situación bastante similar a la de los proveedores de nuestro propio país. En concreto The Register califica como vulnerables (mediante el test de Kaminsky) a AT&T, BT, Time Warner y Bell Canada, así como a más de una decena de otros proveedores.
La burocracia interna podría ser una de las causas de la lentitud con que se está realizando la aplicación de parches en las grandes empresas. Según algunos expertos, la mera aprobación administrativa de la aplicación de un parche tan importante podría requerir un mes, y la actualización en organizaciones muy grandes requeriría probar sucesivamente diferentes configuraciones e irlas deshaciendo hasta dar con la más apropiada. Sin embargo, para la mayoría de empresas la actualización se limita a la aplicación de un parche en su servidor, a excepción de las que aún utilizan BIND 8, que han de actualizarse previamente a BIND 9...
Otro test para la vulnerabilidad en DNS
Este test de DNS-OARC resulta más detallado que otros y muestra sus resultados de forma gráfica, aunque también requiere esperar los resultados algunos segundos más.
Informa por separado de la aleatoriedad de los dos factores implicados en la vulnerabilidad:
- Aleatoriedad del puerto de origen.
- Aleatoriedad del identificador de la transacción.
Publicados varios exploits para vulnerabilidad DNS
El genio está fuera de la botella. Los administradores que a pesar del aviso del pasado día 9 aún no hayan aplicado los corrrespondientes parches para sus servidores DNS, están ahora en serio riesgo de que sus dominios puedan ser redirigidos a cualquier sitio. El propio Kaminsky insiste en que se parchee o se utilice OpenDNS.
Y no se necesita mucho tiempo ni esfuerzo para provocar el desastre. H.D. Moore calcula que bastan 1-2 minutos para "envenenar" un caché y Kaminsky estima que sólo se necesitan unos segundos.
Mención especial merecen los usuarios de routers que ejecutan OpenWRT. Como avisamos en su día, su servicio DNS estándar (dnsmasq) también está tocado, y para colmo de males el parche que resuelve el problema (actualización 2.43) contiene un error que puede provocar la pérdida de algunos paquetes DHCP...
La gente de www.caughq.org ya ha publicado un exploit.
Comprobando vulnerabilidad DNS desde Windows
Hace unos días publiqué, en forma de comentario, cómo podíamos verificar si nuestros servidores DNS (o los de nuestro proveedor) seguían siendo vulnerables, utilizando para ello comandos de Linux y UNIX.
Hoy, la misma fuente nos ofrece un sistema similar para comprobar la vulnerabilidad, pero desde la línea de comandos de Windows...
En este caso los comandos que podemos emplear son los siguientes:
nslookup -type=txt -timeout=30 porttest.dns-oarc.net nslookup -type=txt -timeout=30 porttest.dns-oarc.net ns1.your-isp.com nslookup -type=txt -timeout=30 porttest.dns-oarc.net NS-SERVER-IP
Es decir, sin especificar el servidor DNS a verificar, especificando su nombre o indicando su IP.
En cualquiera de los casos, en la respuesta ha de aparecer la palabra GOOD si nuestro DNS está a salvo de ataques.
Fuentes:
http://www.kriptopolis.org/grandes-isp-siguen-vulnerables-dns
http://www.kriptopolis.org/nuevo-test-vulnerabilidad-dns
http://www.kriptopolis.org/publican-exploits-vulnerabilidad-dns
http://www.kriptopolis.org/comprobar-vulnerabilidad-dns-en-windows
http://www.kriptopolis.org/node/6242/38670#comment-38670
http://www.theregister.co.uk/2008/07/25/isps_slow_to_patch/
http://www.heise-online.co.uk/security/DNS-vulnerability-exploits-released--/news/111168
http://www.cyberciti.biz/tips/windows-verify-dns-cache-posinging-bug.html
https://www.dns-oarc.net/oarc/services/dnsentropy
http://www.caughq.org/exploits/CAU-EX-2008-0002.txt
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!