Open DNS Resolver La vulnerabilidad “OPEN DNS RESOLVER” hace que un servidor DNS responda a consultas recursivas, realizadas por hosts o direcciones ip que no corresponden al dominio del servidor DNS. Los servidores DNS están diseñados para resolver o traducir una dirección url a direcciones IP. Una mala configuración de estos servidores puede conllevar la realización de ataques informáticos con fines ilícitos. En el caso de que este servicio este habilitado, este podría ser utilizado para ataques del tipo negación de servicio (DDoS), en el sentido de que podría utilizar este medio para realizar query/respuesta para utilizar los recursos de conexión para atender un sin número de peticiones, lo cual impediría el acceso a otros servicios en el servidor atacado. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
Time Hora y Fecha en que la dirección IP fue evaluada respecto a la vulnerabilidad
IP La dirección IP del servidor a ser evaluado
asn La ASN correspondiente a la dirección IP
geo País en el que se encuentra el servidor DNS
region Provincia en la que se encuentra el servidor DNS
city Ciudad en la que se encuentra el servidor DNS
port Puerto por el cual se emitió la respuesta del servidor DNS
protocol Protocolo en el cual se transmitió la respuesta del servidor DNS
hostname Resolución reversa del servidor DNS
min_amplification Factor mínimo de amplificación de tráfico del servidor evaluado
dns_version Versión del DNS
p0f_genre Sistema Operativo
p0f_detail Versión del Sistema Operativo
Detección En caso de requerir verificar esta vulnerabilidad se puede ejecutar el comando: “dig +short @[IP] dirección url”, en donde:
Comando/Argumentos Explicación
Dig: Comando para resolución
+short: opción para personalizar la información desplegada como respuesta
@Ip La dirección IP del servidor a verificar
Dirección URL cualquier página web a elegir
Ejemplo Dig +short @200.25.xxx.xxx www.yahoo.com El resultado de la ejecución de este comando es: Fd-fp3.wg1.b.yahoo.com. 98.138.252.30 98.138.253.109 Lo cual indica que la dirección 200.25.xxx.xxx tiene habilitada la opción de recursividad para resolver consultas de dns sin restricción o validación de host. Medidas de corrección recomendadas. En un ambiente controlado y luego de un análisis de riesgo, un administrador de red podría deshabilitar el servicio o implementar en el firewall una configuración especifica que bloquee el puerto 53. En caso de ser posible mantener separados los servidores DNS autoritativos y recursivos dentro de la organización. Respecto de los servidores DNS Autoritativos, los mismos no deben ofrecer recursividad. Respecto de los servidores DNS Recursivos, los mismos deben ser configurados para atender/responder peticiones únicamente de los hosts o direcciones IP y de ser posible no expuestos al Internet. Enlaces de interés: http://openresolverproject.org/ https://dnsscan.shadowserver.org/ Links de descarga:
Open DNS - Descripción
MD5: 26473abc87c87dfc1f4f75d921e15ef0
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT