Исследователи обнаружили уязвимость в большинстве реализаций DNS серверов
Обнаруженная уязвимость позволяет сохранить в кеше доменное имя длительное время после того, как оно было отозвано вышестоящим сервером.
Совместная группа американских и китайских исследователей доказала, что большая часть реализаций DNS-серверов имеют брешь, позволяющую злоумышленникам длительное время использовать доменные имена, отозванные вышестоящим DNS-сервером.
Уязвимость существует из-за ошибки в логике обновления кеша, которая создает потенциальную возможность создания так называемых «призрачных доменов». Используя брешь мошенники могут сделать так, чтобы при вводе доменного имени пользователь перенаправлялся на нужный IP-адрес, даже если после отзыва доменного имени прошло много времени.
«Злоумышленники часто используют доменные имена для различных злонамеренных целей, таких как фишинг-атаки, управление ботнетом, а также распространение вредоносного ПО. Самой очевидной стратегией борьбы с подобной деятельностью является удаление вредоносного домена из DNS серверов высокого уровня… В нашем исследовании мы показали, что этого недостаточно. Мы продемонстрировали уязвимость , которая распространяется на большую часть популярных реализаций DNS, позволяющую вредоносным доменным именам оставаться активными длительное время после того, как они были удалены с вышестоящих DNS. Эксперименты с 19,045 публично доступными DNS серверами показали, что через одну неделю после отзыва и после истечения TTL, свыше 70% серверов будут и далее резолвить его», - отметили эксперты.
Ознакомиться с исследованием можно здесь.