Forskere Opdager Ny DNS Sårbarhed Med Kapaciteter Til Statssponsoreret Spionage

For nylig blev en ny DNS-sårbarhed opdaget. Ifølge forskere kan fejlen give hackere spionageevner på statsniveau og adgang til oplysninger på personlige og virksomhedsnetværk. Denne sårbarhed har store konsekvenser for udbydere af DNS-as-a-Service.

Forskere fra Wiz, et sikkerhedsfirma for cloudinfrastruktur, undersøgte sårbarheden gennem en Amazon Route 53 og opdagede angrebsmetoden. De sagde, “Vi fandt en simpel smutvej, der gjorde det muligt for os at aflytte en del af den globale dynamiske DNS-trafik, der gik gennem administrerede DNS-udbydere som Amazon og Google”.

Forskerne hævdede, at fejlen kan påvirke private og offentlige organisationer over hele verden. “Den dynamiske DNS-trafik, vi ‘aflyttede’, kom fra over 15.000 organisationer, herunder Fortune 500-virksomheder, 45 amerikanske regeringsagenturer og 85 internationale regeringsagenturer,” udtalte Wiz.

Desuden kan hackningen føre til DNS-hijacking angreb. Forskningen viser, at man kan koble et domænenavn (såsom amazonaws.com) til en Amazon S3 bucket (hvis vært befinder sig i Route 53) og derefter oprette en ændringspost og knytte den til et domænenavn. Dette giver en angriber mulighed for at omdirigere trafik fra deres eget domænenavn, idet de omgår de beskyttelser, som AWS har implementeret. 

“Når en DNS-klient forespørger denne navneserver om sig selv (hvilket tusindvis af enheder gør automatisk for at opdatere deres IP-adresse inden for deres administrerede netværk – mere om det om et øjeblik), går den trafik direkte til vores IP-adresse,” udtalte Wiz-forskerne.

Mulig indvirkning af den nye DNS-sårbarhed 

Baseret på den test, der blev udført, modtog Wiz Researchers angiveligt DNS-trafik fra over 15.000 organisationer. De data, de modtog, inkluderede IP-adresser, kontorlokationer og brugernavne.

Forskere siger, at problemet er relateret til en algoritme, som Windows-enheder bruger til at finde og opdatere en master DNS-server, når IP-adresser ændrer sig. “[Det lækede trafik] giver enhver et fugleperspektiv på, hvad der sker inden for virksomheder og regeringer. Vi sammenligner dette med at have spionagekapacitet på nationalstatsniveau, og at få det var lige så let som at registrere et domæne,” udtalte Wiz-forskerne.

Det potentielle omfang af et cyberangreb blev demonstreret, da forskerne brugte de indsamlede data fra trafikken fra over 40.000 servere til at kortlægge, hvor medarbejdere i et større servicefirma bor.

De modtagne data inkluderede også oplysninger om medarbejdere og følsomme informationer om organisationens infrastruktur. Med de oplysninger, der findes på flertallet af virksomheders hjemmesider, kan en trusselaktør have det hele — et overblik over alle medarbejdere, placeringer, strukturer og andre ting, der kunne bruges til at bryde ind i et netværk.

Forskere ved Black Hat sagde, “Påvirkningen er enorm. Ud af seks store DNSaaS-udbydere, vi undersøgte, var tre sårbare over for registrering af navneservere. Enhver cloududbyder, domæneregistrator og webhotel, der tilbyder DNSaaS, kan være sårbar.”

Forskerne tilføjede, at der ikke er nogen beviser for, at DNS-sårbarheden tidligere var udnyttet i det fri. Dog kunne enhver med kendskab til den og nogle færdigheder have misbrugt den i mere end et årti.

At rette DNS-sårbarheden

Efter Amazon og Google blev underrettet, rettede de fejlen. Wiz-forskere mener dog, at andre DNS-udbydere kunne være sårbare og kunne udsætte millioner for angrebet.

Forskerne informerede også Microsoft, men de svarede, at det var en “kendt fejlkonfiguration, der opstår, når en organisation arbejder med eksterne DNS-opløsere,” og ikke en sårbarhed.

Siden Microsoft, som kan justere den dynamiske DNS-algoritme, allerede hævder, at det ikke er en sårbarhed, er det derfor uklart, hvem der bør rette denne kritiske DNS-fejl. 

Wiz siger, at tjenesteudbydere kunne tage nogle skridt for at forhindre datalækage og DDOS-angreb. Organisationer kan forhindre datalækage ved korrekt at konfigurere deres DNS-resolvers.

Redmonds anbefaling er at bruge forskellige DNS-navne og zoner for interne og eksterne værter og følge instruktionerne om, hvordan man korrekt konfigurerer Dynamiske Opdateringer i Windows. Dette vil reducere risikoen for konflikter og gøre det lettere for computere på dit lokale netværk at løse deres DNS-indstillinger automatisk.

Managed DNS-udbydere kan også løse problemet med DNS-hijacking ved at verificere og validere domæner, før de beder kunder om at registrere dem. Desuden kan de følge RFC’s specifikation for “reserverede navne” for at forhindre det.

Virksomheder med lejede DNS-servere kan forhindre lækager i deres internetnetværkstrafik ved at opdatere deres dynamiske DNS og ændre den standard Start-of-Authority (SOA) post.

Konklusion

Wiz Researchers opdagede en ny DNS-fejl, der kan forårsage DDOS-angreb. Det blev testet og bevist at have kapaciteten til spionage på statsniveau. Fejlen kan påvirke virksomheder, enkeltpersoner samt statslige agenturer. Den kan frigive følsomme oplysninger om medarbejdere og forstyrre virksomheder. Amazon og Google rettede problemet på deres system, men Microsoft insisterer på, at der ikke er nogen sårbarhed. 

Wiz-forskere rådede organisationer til at opdatere deres DNS og tage cybersikkerhed alvorligt for at forhindre DDOS-angreb.