Investigadores Descubren Nueva Vulnerabilidad DNS con Capacidades de Espionaje de Estado-Nación
Recientemente, se descubrió una nueva vulnerabilidad en el DNS. Según los investigadores, el fallo puede otorgar a los hackers habilidades de espionaje a nivel de estado y acceso a información en redes personales y corporativas. Esta vulnerabilidad tiene un impacto mayor en los proveedores de DNS como servicio.
Investigadores de Wiz, una compañía de seguridad de infraestructura en la nube, examinaron la vulnerabilidad a través de un Amazon Route 53 y descubrieron el método de ataque. Dijeron, “Encontramos una brecha simple que nos permitió interceptar una parte del tráfico global de DNS dinámico que pasa a través de proveedores de DNS administrados como Amazon y Google”.
Los investigadores afirmaron que el fallo puede afectar a agencias privadas y gubernamentales de todo el mundo. “El tráfico de DNS dinámico que interceptamos provenía de más de 15,000 organizaciones, incluyendo compañías de Fortune 500, 45 agencias gubernamentales de los EE.UU. y 85 agencias gubernamentales internacionales,” declaró Wiz.
Además, el ataque podría conducir a ataques de secuestro de DNS. La investigación muestra que uno puede vincular un nombre de dominio (como amazonaws.com) a un bucket de Amazon S3 (cuyo host reside en Route 53) y luego crear un registro de cambio y asociarlo a un nombre de dominio. Esto permite a un atacante redireccionar el tráfico desde su propio nombre de dominio, evitando las protecciones establecidas por AWS.
“Cuando un cliente de DNS consulta a este servidor de nombres acerca de sí mismo (lo que miles de dispositivos hacen automáticamente para actualizar su dirección IP dentro de su red administrada – más sobre eso en un minuto), ese tráfico va directamente a nuestra dirección IP,” declararon los investigadores de Wiz.
Posible impacto de la nueva vulnerabilidad del DNS
Basándose en la prueba llevada a cabo, se alega que los investigadores de Wiz recibieron tráfico de DNS de más de 15,000 organizaciones. Los datos que recibieron incluían direcciones IP, ubicaciones de oficinas y nombres de usuario.
Los investigadores sugieren que el problema está relacionado con un algoritmo que los dispositivos de Windows utilizan para buscar y actualizar un servidor DNS maestro cuando cambian las direcciones IP. «[El tráfico filtrado] le da a cualquiera una visión panorámica de lo que está sucediendo dentro de empresas y gobiernos. Lo comparamos con tener la capacidad de espionaje a nivel de un estado-nación, y conseguirlo fue tan fácil como registrar un dominio», declararon los investigadores de Wiz.
El impacto potencial de un ciberataque se demostró cuando los investigadores utilizaron los datos recabados del tráfico de más de 40,000 servidores para mapear donde viven los empleados de una gran empresa de servicios.
Los datos recibidos también incluían detalles de los empleados e información sensible sobre la infraestructura de la organización. Con la información que se encuentra en la mayoría de los sitios web corporativos, un actor de amenazas puede tenerlo todo: una visión general de todos los empleados, ubicaciones, estructuras y otros elementos que podrían ser utilizados para violar una red.
Los investigadores de Black Hat dijeron, «El impacto es enorme. De los seis principales proveedores de DNSaaS que examinamos, tres eran vulnerables a la registración de nombres de servidor. Cualquier proveedor de servicios en la nube, registrador de dominios y host de sitios web que ofrezca DNSaaS podría ser vulnerable.»
Los investigadores añadieron que no hay evidencia de que la vulnerabilidad de DNS haya sido explotada anteriormente en la naturaleza. Sin embargo, cualquier persona con conocimiento de ella y algunas habilidades podría haberla abusado durante más de una década.
Reparando la vulnerabilidad del DNS
Después de que se notificó a Amazon y Google, estos corrigieron el fallo. Sin embargo, los investigadores de Wiz creen que otros proveedores de DNS podrían ser vulnerables y podrían exponer a millones al ataque.
Los investigadores también notificaron a Microsoft, pero ellos respondieron diciendo que era una “mala configuración conocida que ocurre cuando una organización trabaja con resolutores de DNS externos”, y no una vulnerabilidad.
Dado que Microsoft, que puede ajustar el algoritmo DNS dinámico, ya afirma que no es una vulnerabilidad. Por lo tanto, no está claro quién debería solucionar este crítico error de DNS.
Wiz sugiere que los proveedores de servicios podrían tomar algunas medidas para prevenir la fuga de datos y los ataques DDOS. Las organizaciones pueden prevenir la fuga de datos configurando correctamente sus resolutores de DNS.
La recomendación de Redmond es utilizar diferentes nombres y zonas de DNS para los hosts internos y externos y seguir las instrucciones sobre cómo configurar correctamente las actualizaciones dinámicas en Windows. Esto reducirá el riesgo de conflictos y facilitará que los ordenadores de tu red local resuelvan automáticamente sus configuraciones de DNS.
Los proveedores de DNS administrados también pueden solucionar el problema de secuestro de DNS verificando y validando dominios antes de pedir a los clientes que los registren. Además, pueden seguir la especificación de «nombres reservados» de RFC para prevenirlo.
Las empresas con servidores DNS alquilados pueden prevenir fugas en su tráfico de red de internet actualizando su DNS dinámico y modificando el registro predeterminado de inicio de autoridad (SOA).
Conclusión
Investigadores de Wiz descubrieron una nueva falla en el DNS que puede causar ataques DDOS. Se probó y demostró que tiene la capacidad de espionaje a nivel de estado-nación. La falla puede afectar a empresas, individuos y también a agencias gubernamentales. Puede liberar información sensible sobre empleados y perturbar el funcionamiento de las empresas. Amazon y Google solucionaron el problema en su sistema, pero Microsoft insiste en que no existe ninguna vulnerabilidad.
Los investigadores de Wiz aconsejaron a las organizaciones que actualicen su DNS y se tomen en serio la ciberseguridad para prevenir ataques DDOS.