Обнаруженная уязвимость позволяет сохранить в кеше доменное имя длительное время после того, как оно было отозвано вышестоящим сервером.
Совместная группа американских и китайских исследователей доказала, что большая часть реализаций DNS-серверов имеют брешь, позволяющую злоумышленникам длительное время использовать доменные имена, отозванные вышестоящим DNS-сервером.
Уязвимость существует из-за ошибки в логике обновления кеша, которая создает потенциальную возможность создания так называемых «призрачных доменов». Используя брешь мошенники могут сделать так, чтобы при вводе доменного имени пользователь перенаправлялся на нужный IP-адрес, даже если после отзыва доменного имени прошло много времени.
«Злоумышленники часто используют доменные имена для различных злонамеренных целей, таких как фишинг-атаки, управление ботнетом, а также распространение вредоносного ПО. Самой очевидной стратегией борьбы с подобной деятельностью является удаление вредоносного домена из DNS серверов высокого уровня… В нашем исследовании мы показали, что этого недостаточно. Мы продемонстрировали уязвимость, которая распространяется на большую часть популярных реализаций DNS, позволяющую вредоносным доменным именам оставаться активными длительное время после того, как они были удалены с вышестоящих DNS. Эксперименты с 19,045 публично доступными DNS серверами показали, что через одну неделю после отзыва и после истечения TTL, свыше 70% серверов будут и далее резолвить его», - отметили эксперты.
Ознакомиться с исследованием можно здесь.
Первое — находим постоянно, второе — ждем вас