Новая уязвимость DNS позволяет «шпионить на уровне государства» за компаниями

Новая уязвимость DNS позволяет «шпионить на уровне государства» за компаниями

Источник · Перевод автора

Исследователи безопасности обнаружили новый класс уязвимостей DNS, влияющих на основных поставщиков DNS-as-a-Service (DNSaaS), которые могут позволить злоумышленникам получить доступ к конфиденциальной информации из корпоративных сетей.

Поставщики DNSaaS (также известные как поставщики управляемых DNS) предоставляют услуги аренды DNS другим организациям, которые не хотят самостоятельно управлять и защищать еще один сетевой ресурс.

Как показали на конференции по безопасности Black Hat исследователи фирмы Wiz по облачной безопасности Шир Тамари (Shir Tamari) и Ами Луттвак (Ami Luttwak), эти недостатки DNS предоставляют злоумышленникам возможности сбора разведданных на национальном уровне с помощью простой регистрации домена.

От регистрации доменного имени до прослушивания трафика без разбора

Как они объяснили, процесс эксплуатации довольно прост: они зарегистрировали домен и использовали его для взлома сервера имен провайдера DNSaaS (в их случае Amazon Route 53), что позволило им прослушивать динамический поток DNS-трафика из сетей клиентов Route 53.

«Мы нашли простую лазейку, которая позволила нам перехватить часть всемирного динамического DNS-трафика, проходящего через управляемых DNS-провайдеров, таких как Amazon и Google», – заявили исследователи Wiz.

«Динамический DNS-трафик, который мы «прослушали», исходил от более чем 15 000 организаций, включая компании из списка Fortune 500, 45 правительственных агентств США и 85 международных правительственных агентств».

Данные, которые они собирали таким образом, варьировались от имен сотрудников / компьютеров и их местоположения до очень конфиденциальных сведений об инфраструктуре организации, включая доступные в Интернете сетевые устройства.

В одном случае исследователи нанесли на карту расположение офисов одной из крупнейших в мире сервисных компаний, используя сетевой трафик, полученный от 40 000 корпоративных конечных точек.

Информация, собранная таким образом, значительно упростит работу злоумышленников по проникновению в сеть организации, поскольку даст им «взгляд с высоты птичьего полета на то, что происходит внутри компаний и правительств», и предоставит им «возможности шпионажа на уровне государства».

Исследователи не нашли доказательств того, что обнаруженная ими уязвимость DNS ранее использовалась в дикой природе, но, как они объясняют, любой, кто знает проблемы и обладает навыками для злоупотребления, «мог собирать данные незамеченными в течение более десяти лет».

«Влияние огромно. Из шести основных провайдеров DNSaaS, которые мы исследовали, трое были уязвимы для регистрации серверов имен», – добавили они в Black Hat.

«Любой облачный провайдер, регистратор доменов и хостинг веб-сайтов, предоставляющий DNSaaS, может быть уязвим».

Исправлено одними, вероятно, беспокоит других

Что еще хуже, хотя два основных поставщика DNS (Google и Amazon) уже исправили эти недостатки DNS, другие, вероятно, все еще уязвимы, подвергая атакам миллионы устройств.

Кроме того, не совсем ясно, кто должен исправить эту критическую ошибку DNS. Microsoft, которая могла настроить динамический алгоритм DNS, который позволяет конечным точкам Windows пропускать внутренний сетевой трафик на вредоносные DNS-серверы, уже сказала Wiz, что это не уязвимость.

Как объяснила Microsoft, этот недостаток является «известной неправильной конфигурацией, которая возникает, когда организация работает с внешними преобразователями DNS».

Редмонд советует использовать отдельные DNS-имена и зоны для внутренних и внешних хостов, чтобы избежать конфликтов DNS и проблем с сетью, и предоставляет подробную документацию о том, как правильно настроить динамические обновления DNS в Windows.

Поставщики управляемых DNS могут решить проблему перехвата серверов имен, правильно следуя спецификации RFC «Зарезервированные имена», а также проверяя право собственности и проверяя домены, прежде чем разрешить своим клиентам регистрировать их.

Компании, арендующие DNS-серверы, также могут вносить изменения, чтобы заблокировать утечку своего внутреннего сетевого трафика с помощью динамических обновлений DNS, изменив запись по умолчанию Start-of-Authority (SOA).

Дополнительная информация и технические детали доступны в отчете, опубликованном Wiz в среду, а слайды презентации Black Hat доступны здесь.