Actualización: Tanto Telefónica como Ono han parcheado los DNS que mencionábamos como vulnerables en este artículo.
Cuatro meses después de hacerse pública la vulnerabilidad DNS Poisoning, 1 de cada 10 servidores DNS sigue siendo vulnerable. Estos datos los saca a la luz un estudio realizado el mes pasado por la firma de soluciones para ISPs Infoblox, en la que se ha analizado la respuesta de 618.312 servidores DNS. ¿han hecho los deberes los ISP españoles?
Se estima que en la red hay 11,9 millones de servidores DNS y que el 40% aceptan peticiones desde el exterior de la red a la que pertenecen. Extrapolando datos, el estudio concluye que hay 1,3 millones de servidores que no han sido actualizados con el parche que soluciona la vulnerabilidad.
Este tema causo bastante revuelo en julio. Primero su descubridor, Dan Kaminsky, trabajó en silencio coordinadamente con los fabricantes de software DNS para publicar los parches. Pero unos días antes de lo previsto, aparecieron en la red las especificaciones técnicas para explotar el fallo. En menos de 24 horas disponíamos de un script para sacar partido a la vulnerabilidad.
Progresivamente los proveedores de internet han ido solucionando el fallo. No obstante a día de hoy, en el Analizador DNS, siguen apareciendo varios servidores como vulnerables.
Especialmente preocupantes son los dos de Telefónica y uno de Ono. Determinar si realmente son vulnerables no es fácil. Nosotros vamos a comprobarlo con la herramienta puesta a disposición por dns-oarc.net/oarc/services/porttest, que es la que se ha utilizado en el estudio al que hacemos referencia.
Analizando 33.Red-80-58-0.staticIP.rima-tde.net...
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.58.0.45 is POOR: 26 queries in 4.6 seconds from 22 ports with std dev 18"
true
Analizando 33.Red-80-58-32.staticIP.rima-tde.net...
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.58.32.42 is POOR: 26 queries in 4.8 seconds from 22 ports with std dev 18"
true
Analizando resolv2.ono.com...
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"62.42.63.59 is POOR: 26 queries in 5.0 seconds from 1 ports with std dev 0"
true
Esto significa que 2 de los 18 servidores de Telefónica y 1 de los 2 de Ono son en mayor o menor medida vulnerables al envenenamiento DNS.
Aprovechamos para saludar a Olivia Ribo, ingeniero española exresponsable de Servicios y Aplicaciones IP de Ono y que actualmente trabaja en Infoblox EEUU ;)
Interesantísimo documento que explica todos los detalles de la vulnerabilidad (PDF). Gracias Gabriel ;)
