Perda de zona de DNS pode provocar vazamento de informações a nível mundial

Alert (TA15-103A)
Zona DNS pedidos de transferência AXFR pode causar vazamento de informações de domínio

Sistemas afetados
Misconfigured Domain Name System (DNS) servidores que respondem a Asynchronous Transfer Full Range mundial (AXFR) pedidos.
Visão global
Um usuário remoto não autenticado pode solicitar uma transferência de zona DNS de um servidor DNS voltado para o público. Se configurado incorretamente, o servidor DNS pode responder com informações sobre a zona solicitada, revelando estrutura interna da rede e informações potencialmente confidenciais.
Descrição
AXFR é um protocolo para "transferências de zona" para a replicação de dados de DNS em vários servidores DNS. Ao contrário de consultas DNS normais que exigem que o usuário saiba alguma informação DNS antes do tempo, as consultas AXFR revelar nomes de subdomínio [1] (link externo) . Porque uma transferência de zona é uma única consulta, ele poderia ser usado por um adversário para obter de forma eficiente os dados de DNS. 
Um problema bem conhecido com DNS é que os pedidos de transferência de zona pode divulgar informações de domínio; por exemplo, consulte CVE-1999-0532 e um papel branco 2002 CERT / CC (link externo) [2] [3] (link externo) . No entanto, a questão já recuperou a atenção devido a exames recentes da Internet ainda mostrando um grande número de servidores DNS mal configurados. Open-source, testou os scripts estão agora disponíveis para verificar se há a possibilidade de exposição, aumentando a probabilidade de exploração [4] .
Impacto
Um usuário remoto não autenticado pode observar a estrutura de rede interna, aprender informações úteis para outros ataques dirigidos.
Solução
Configure o servidor DNS para responder apenas às solicitações de endereços IP conhecidos transferência de zona (AXFR). Muitos recursos de código aberto dar instruções sobre como reconfigurar seu servidor DNS. Por exemplo, veja este artigo AXFR para obter informações sobre a testar e corrigir a configuração de um servidor BIND DNS. O US-CERT não endossa ou apoiar qualquer produto ou fornecedor em particular.
Referências
[1] Como o AXFR Protocolo Works (link externo)
[2] Resumo Vulnerabilidade para CVE-1.999-0.532
[3] Protegendo um Servidor de Nomes de Internet (link externo)
[4] Digitalização Alexa Top 1M para AXFR
Revisões
13 abril de 2015: Lançamento inicial