Tutkijat löytävät uuden DNS-haavoittuvuuden, jolla on valtiollisen vakoilun kyvyt
Äskettäin löydettiin uusi DNS-haavoittuvuus. Tutkijoiden mukaan tämä heikkous voi antaa hakkerille valtiollisen vakoilukyvyn ja pääsyn henkilökohtaisiin sekä yritysverkkoihin. Tällä haavoittuvuudella on merkittäviä vaikutuksia DNS-palveluntarjoajiin.
Wiz-nimisen pilvi-infrastruktuurin turvallisuusyrityksen tutkijat tutkivat haavoittuvuutta Amazon Route 53:n kautta ja löysivät hyökkäysmenetelmän. He sanoivat, ”Löysimme yksinkertaisen porsaanreiän, joka mahdollisti osan maailmanlaajuisesta dynaamisesta DNS-liikenteestä, joka kulki hallinnoitujen DNS-palveluntarjoajien, kuten Amazonin ja Googlen kautta, kaappaamisen”.
Tutkijat väittivät, että vika voi vaikuttaa yksityisiin ja valtiollisiin virastoihin ympäri maailmaa. ”Dynaamisen DNS-liikenteen, jonka ’kuuntelimme’, tuli yli 15 000 organisaatiolta, mukaan lukien Fortune 500 -yritykset, 45 Yhdysvaltain hallituksen virastoa ja 85 kansainvälistä hallituksen virastoa,” Wiz totesi.
Lisäksi hakkerointi voi johtaa DNS-kaappaus hyökkäyksiin. Tutkimus osoittaa, että voi yhdistää verkkotunnuksen (kuten amazonaws.com) Amazon S3 -säiliöön (jonka isäntä sijaitsee Route 53:ssa) ja sitten luoda muutoskirjauksen ja liittää sen verkkotunnukseen. Tämä mahdollistaa hyökkääjän ohjata liikenteen omasta verkkotunnuksestaan, ohittaen AWS:n asettamat suojaukset.
”Kun DNS-asiakasohjelma kysyy tältä nimipalvelimelta itsestään (mitä tuhannet laitteet tekevät automaattisesti päivittääkseen IP-osoitteensa hallitsemassaan verkossa – lisää siitä hetken kuluttua), liikenne menee suoraan IP-osoitteeseemme,” Wiz-tutkijat totesivat.
## Uuden DNS-haavoittuvuuden mahdollinen vaikutus
Testin perusteella Wiz Researchers -ryhmän kerrotaan vastaanottaneen DNS-liikennettä yli 15 000 organisaatiolta. Heidän saamansa tiedot sisälsivät IP-osoitteita, toimistojen sijainteja ja käyttäjänimiä.
Tutkijat sanovat, että ongelma liittyy algoritmiin, jota Windows-laitteet käyttävät löytääkseen ja päivittääkseen pää-DNS-palvelimen, kun IP-osoitteet muuttuvat. ”[Vuodettu liikenne] antaa kenelle tahansa lintuperspektiivin siitä, mitä yrityksissä ja hallituksissa tapahtuu. Vertaamme tätä valtiotason vakoilukyvyn saamiseen, ja sen saaminen oli yhtä helppoa kuin verkkotunnuksen rekisteröiminen,” Wiz-tutkijat totesivat.
Kyberhyökkäyksen mahdollinen vaikutus havainnollistettiin, kun tutkijat käyttivät yli 40 000 palvelimen liikenteestä kerättyjä tietoja kartoittaakseen, missä suuren palveluyrityksen työntekijät asuvat.
Saadut tiedot sisälsivät myös työntekijöiden yksityiskohtia ja arkaluonteista tietoa organisaation infrastruktuurista. Tiedot, jotka löytyvät useimpien yritysten verkkosivuilta, mahdollistavat uhkatoimijalle kaiken tarvittavan — yleiskatsauksen kaikista työntekijöistä, sijainneista, rakenteista ja muista seikoista, joita voidaan käyttää verkon murtamiseen.
Tutkijat Black Hat -tapahtumassa sanoivat, ”Vaikutus on valtava. Kuudesta tarkastelemastamme suuresta DNSaaS-palveluntarjoajasta kolme oli haavoittuvaisia nimipalvelimen rekisteröinnille. Mikä tahansa pilvipalvelun tarjoaja, verkkotunnuksen rekisteröijä ja verkkosivuston isäntä, joka tarjoaa DNSaaS-palvelua, voi olla haavoittuvainen.”
Tutkijat lisäsivät, että ei ole näyttöä siitä, että DNS-haavoittuvuutta olisi aiemmin käytetty hyväksi villissä luonnossa. Kuitenkin kuka tahansa, jolla oli tietoa siitä ja jonkin verran taitoja, olisi voinut käyttää sitä hyväkseen yli vuosikymmenen ajan.
## DNS-haavoittuvuuden korjaaminen
Amazonin ja Googlen saatua ilmoituksen, ne korjasivat haavoittuvuuden. Wiz-tutkijat kuitenkin uskovat, että muut DNS-palveluntarjoajat saattavat olla haavoittuvaisia ja saattavat altistaa miljoonat hyökkäykselle.
Tutkijat ilmoittivat myös Microsoftille, mutta he vastasivat sanomalla, että kyseessä oli ”tunnettu väärinkonfigurointi, joka tapahtuu, kun organisaatio työskentelee ulkoisten DNS-resoluuttoreiden kanssa”, eikä haavoittuvuus.
Koska Microsoft, joka voi säätää dynaamisen DNS-algoritmin, väittää jo, että se ei ole haavoittuvuus. Siksi on epäselvää, kenen pitäisi korjata tämä kriittinen DNS-bugi.
Wiz sanoo, että palveluntarjoajat voisivat toteuttaa joitakin toimenpiteitä estääkseen tietovuodot ja DDOS-hyökkäykset. Organisaatiot voivat estää tietovuotoja konfiguroimalla DNS-resolverinsa asianmukaisesti.
Redmondin suositus on käyttää eri DNS-nimiä ja -vyöhykkeitä sisäisille ja ulkoisille isännöille ja noudattaa ohjeita Dynamic Updatesin oikeaoppiseen konfigurointiin Windowsissa. Tämä vähentää ristiriitojen riskiä ja helpottaa paikallisverkkosi tietokoneiden DNS-asetusten automaattista selvittämistä.
Hallinnoitujen DNS-palveluntarjoajien on myös mahdollista korjata DNS-kaappausongelma varmentamalla ja validoimalla verkkotunnukset ennen kuin pyytävät asiakkaita rekisteröimään ne. Lisäksi he voivat noudattaa RFC:n ”varatut nimet” -määrittelyä estääkseen sen.
Yritykset, joilla on vuokratut DNS-palvelimet, voivat estää vuodot internet-verkkoliikenteessään päivittämällä dynaamisen DNS:nsä ja muokkaamalla oletus Start-of-Authority (SOA) -tietuetta.
## Yhteenveto
Wiz Researchers löysi uuden DNS-haavoittuvuuden, joka voi aiheuttaa DDOS-hyökkäyksiä. Sen on testattu ja todistettu kykenevän valtiolliseen vakoiluun. Haavoittuvuus voi vaikuttaa yrityksiin, yksilöihin sekä hallituksen virastoihin. Se voi paljastaa arkaluonteisia tietoja työntekijöistä ja häiritä yritysten toimintaa. Amazon ja Google korjasivat ongelman järjestelmissään, mutta Microsoft väittää, että haavoittuvuutta ei ole.
Wiz-tutkijat neuvovat organisaatioita päivittämään DNS:nsä ja suhtautumaan kyberturvallisuuteen vakavasti DDOS-hyökkäysten estämiseksi.