[GTER] [GTS-L] Servidores DNS recursivos - ATUALIZE JA - CERT:VU#800113

Frederico A C Neves fneves at registro.br
Thu Jul 24 17:26:16 -03 2008 

Rodrigo,

On Thu, Jul 24, 2008 at 04:41:16PM -0000, Rodrigo Rubira Branco (BSDaemon) wrote:
> Frederico,
> 
> Importante salientar que os 'testes' realizados pelo modulo do metasploit
> nao sao muito exatos.

Os melhores testes on-line para verificar se um servidor é vulnerável
ou não são:

 https://www.dns-oarc.net/oarc/services/dnsentropy
 % dig +short porttest.dns-oarc.net TXT

> Servidores debian atualizados e nao vulneraveis ao ataque aparecem com
> respostas estranhas aos testes, mas com resultado mostrando como sendo
> vulneraveis.  Isto pode prejudicar um pouco administradores que nao sabem
> como validar seu sistema.

É importante frisar que quando digo não vulnerável, digo não
vulnerável a um comprometimento rápido.

> Abracos,
> 
> 
> Rodrigo (BSDaemon).

[]s
Fred

> --
> http://www.kernelhacking.com/rodrigo
> 
> Kernel Hacking: If i really know, i can hack
> 
> GPG KeyID: 1FCEDEA1
> 
> 
> --------- Mensagem Original --------
> De: Grupo de Trabalho em Segurança de Redes <gts-l at eng.registro.br>
> Para: GTER <gter at eng.registro.br>, GTS <gts-l at eng.registro.br>
> Assunto: [GTS-L] Servidores DNS recursivos - ATUALIZE JA - CERT:VU#800113
> Data: 24/07/08 16:23
> 
> >
> > Senhores,
> >
> > Já se passaram 15 dias [1] do anúncio inicial e o número de servidores
> > recursivos que consultam os servidores autoritativos do .br ainda
> > vulneráveis é enorme.
> >
> > Com base em 3.2x10^8 consultas recebidas entre 23/7/2008 10h e
> > 24/7/2008 10h, temos 271k servidores únicos com mais de 30 consultas
> > neste intervalo, 74.1% destes servidores são vulneráveis.
> >
> > Entre os de maior tráfego (> 10k queries), temos 3.8k servidores,
> > destes 51.2% são vulneráveis e provavelmente os principais alvos uma
> > vez que são servidores públicos em redes de acesso.
> >
> > Se você é responsável pela operaão de um destes servidores, ATUALIZE
> > JÁ conforme o anúncio.
> >
> > Já existem exploits públicos para o problema e versão mais otimizadas
> > estão disponíveis privadamente, a não atualizaão certamente trará
> > consequências desagradáveis muito em breve para quem negligenciar
> > estes avisos.
> >
> > Verifique também a configuraão de suas zonas autoritativas. Domínios
> > com poucos servidores autoritativos e com TTLs reduzidos nos registros
> > NS são mais vulneráveis.
> >
> > É sempre bom lembrar que este ataque é facilitado pelo não respeito a
> > BCP38 e pela presença de servidores DNS recursivos abertos ao público
> > em geral [2]. Favor repassar esta informaão,
> >
> > Fred
> >
> > [1] http://eng.registro.br/pipermail/gter/2008-July/019316.html
> > [2] http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
> > _______________________________________________
> > GTS-L mailing list GTS-L at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/gts-l
> >
> >
> >
> >
> >
> 
> _______________________________________________
> GTS-L mailing list GTS-L at eng.registro.br
> https://eng.registro.br/mailman/listinfo/gts-l

More information about the gter mailing list