Mere end 10 procent af internets DNS-servere (Domain Name System) er stadig sårbare over for cache-forgiftningsangreb, ifølge en verdensomspændende oversigt over internetnavneservere, der står over for offentligheden.

"Vi anslår, at der er 11,9 millioner navneservere derude, og over 40 procent tillader åben rekursion, så de accepterer forespørgsler fra nogen. Af dem er kvart ikke patched, så der er 1,3 millioner navneservere, der er trivielt sårbare, "sagde Liu, som er Infoblox's vicepræsident for arkitektur.

[Yderligere læsning: Sådan fjernes malware fra din vind ows PC]

Andre DNS-servere kan muligvis tillade rekursion, men er ikke åbne for alle, så de blev ikke hentet af undersøgelsen, sagde han.

Liu sagde, at cacheforgiftningen sårbarheden, som ofte er opkaldt efter Dan Kaminsky, sikkerhedsforskeren, der offentliggjorde detaljer om det i juli, er ægte: "Kaminsky blev udnyttet inden for få dage efter offentliggørelse," sagde han.

Moduler, der målrettede mod sårbarheden, er blevet tilføjet til hackings- og penetrationstestværktøjet Metasploit, for eksempel. Ironisk nok er en af ​​de første DNS-servere, der er kompromitteret med et cache-forgiftningsanfald, en, der anvendes af Metasploits forfatter, HD Moore.

For øjeblikket er modgiften til cache-forgiftningsfejl portsortering. Ved at sende DNS-forespørgsler fra forskellige kildeporte gør det det sværere for en hacker at gætte hvilken port, der skal sende forgiftede data til.

Dette er dog kun en delvis rettelse, advarede Liu. "Port randomisering mildrer problemet, men det gør ikke et angreb umuligt," sagde han. "Det er virkelig bare et stopgap på vejen til kryptografisk kontrol, hvilket er hvad DNSSEC-sikkerhedsudvidelserne gør.

" DNSSEC vil tage meget længere tid at implementere, da der er meget involveret infrastruktur - nøgle administration, zone signering, offentlig nøgle underskrift og så videre. Vi troede, vi kunne se en mærkbar optagelse i DNSSEC adoption i år, men vi så kun 45 DNSSEC poster ud af en million prøve. Sidste år så vi 44. "

Liu sagde, at på den positive side viste undersøgelsen flere gode nyheder. For eksempel understøtter SPF - afsenderpolitiske rammer, der bekæmper e-mail-spoofing - har steget de seneste 12 måneder fra 12,6 procent af de zoner, der blev udtaget til 16,7 procent.

Derudover er antallet af usikre Microsoft DNS Server-systemer, der er forbundet med internettet, faldet fra 2,7 procent af det samlede til 0,17 procent. Disse systemer kunne stadig godt bruges indenfor organisationer, men sagde det vigtige er, at "folk skinner væk fra at forbinde dem til internettet."

Liu sagde frem til, at kun organisationer med et specifikt behov for åben rekursiv DNS servere - og den tekniske evne til at forhindre dem i at blive oversvømmet - burde køre dem.

"Jeg ville elske at se procentdelen af ​​åbne rekursive servere gå ned, fordi selvom de er patchede, gør de store forstærkere til afvisning -of-service-angreb, "sagde han." Vi kan ikke slippe af med rekursive servere, men du behøver ikke bare tillade nogen at bruge dem. "