Onderzoekers Ontdekken Nieuwe DNS Kwetsbaarheid Met Spionagecapaciteiten van Staatsniveau
Onlangs is er een nieuwe DNS-kwetsbaarheid ontdekt. Volgens onderzoekers kan de fout hackers mogelijkheden geven die vergelijkbaar zijn met die van nationale spionage en toegang verschaffen tot informatie op persoonlijke en zakelijke netwerken. Deze kwetsbaarheid heeft grote gevolgen voor DNS-as-a Service providers.
Onderzoekers van Wiz, een beveiligingsbedrijf voor cloudinfrastructuur, hebben de kwetsbaarheid onderzocht via een Amazon Route 53 en ontdekten de aanvalsmethode. Ze zeiden: “We hebben een eenvoudige maas in de wet gevonden die ons in staat stelde om een deel van het wereldwijde dynamische DNS-verkeer dat via beheerde DNS-providers zoals Amazon en Google gaat, te onderscheppen”.
De onderzoekers beweerden dat de fout zowel particuliere als overheidsinstanties over de hele wereld kan beïnvloeden. “Het dynamische DNS-verkeer dat we ‘afluisterden’ kwam van meer dan 15.000 organisaties, waaronder Fortune 500-bedrijven, 45 Amerikaanse overheidsinstanties en 85 internationale overheidsinstanties,” verklaarde Wiz.
Bovendien kan de hack leiden tot DNS-kapingaanvallen. Het onderzoek toont aan dat men een domeinnaam (zoals amazonaws.com) kan koppelen aan een Amazon S3-bucket (waarvan de host zich in Route 53 bevindt) en vervolgens een wijzigingsrecord kan aanmaken en deze kan associëren met een domeinnaam. Dit stelt een aanvaller in staat om verkeer van hun eigen domeinnaam om te leiden, waarbij de door AWS ingestelde beveiligingen worden omzeild.
“Wanneer een DNS-client deze naamserver over zichzelf bevraagt (wat duizenden apparaten automatisch doen om hun IP-adres binnen hun beheerde netwerk bij te werken – daarover zo meer), gaat dat verkeer rechtstreeks naar ons IP-adres,” verklaarden de onderzoekers van Wiz.
Mogelijke Impact van de Nieuwe DNS Kwetsbaarheid
Volgens de uitgevoerde test zouden de Wiz Onderzoekers DNS-verkeer hebben ontvangen van meer dan 15.000 organisaties. De gegevens die ze ontvingen, omvatten IP-adressen, kantoorlocaties en gebruikersnamen.
Onderzoekers zeggen dat het probleem gerelateerd is aan een algoritme dat Windows-apparaten gebruiken om een master DNS-server te vinden en bij te werken wanneer IP-adressen veranderen. “[Het gelekte verkeer] geeft iedereen een vogelperspectief op wat er binnen bedrijven en overheden gebeurt. We vergelijken dit met het hebben van spionagecapaciteiten op het niveau van een natie-staat, en het verkrijgen ervan was net zo eenvoudig als het registreren van een domein,” verklaarden de Wiz onderzoekers.
De potentiële impact van een cyberaanval werd gedemonstreerd toen de onderzoekers de verzamelde gegevens van het verkeer van meer dan 40.000 servers gebruikten om in kaart te brengen waar werknemers van een groot dienstverlenend bedrijf wonen.
De ontvangen gegevens omvatten ook details van medewerkers en gevoelige informatie over de infrastructuur van de organisatie. Met de informatie die op de meeste bedrijfswebsites te vinden is, kan een dreigingsactor alles hebben – een overzicht van alle medewerkers, locaties, structuren en andere zaken die gebruikt kunnen worden om een netwerk te infiltreren.
Onderzoekers bij Black Hat zeiden: “De impact is enorm. Van de zes grote DNSaaS-aanbieders die we hebben onderzocht, waren er drie kwetsbaar voor nameserverregistratie. Elke cloudprovider, domeinregistrar en websitehost die DNSaaS levert, kan kwetsbaar zijn.”
De onderzoekers voegden toe dat er geen bewijs is dat de DNS-kwetsbaarheid eerder in het wild is uitgebuit. Echter, iedereen met kennis ervan en enige vaardigheden had het meer dan een decennium kunnen misbruiken.
Het Oplossen van de DNS Kwetsbaarheid
Nadat Amazon en Google op de hoogte waren gebracht, hebben zij het lek gerepareerd. Echter, onderzoekers van Wiz geloven dat andere DNS-aanbieders kwetsbaar kunnen zijn en miljoenen mensen aan de aanval kunnen blootstellen.
De onderzoekers hebben ook Microsoft op de hoogte gesteld, maar zij reageerden door te zeggen dat het een “bekende verkeerde configuratie was die optreedt wanneer een organisatie werkt met externe DNS-resolvers,” en geen kwetsbaarheid.
Sinds Microsoft, dat het dynamische DNS-algoritme kan aanpassen, al beweert dat het geen kwetsbaarheid is, is het daarom onduidelijk wie deze kritieke DNS-bug moet oplossen.
Wiz zegt dat dienstverleners enkele stappen kunnen ondernemen om gegevenslekken en DDOS-aanvallen te voorkomen. Organisaties kunnen gegevenslekken voorkomen door hun DNS-resolvers correct te configureren.
Redmond’s aanbeveling is om verschillende DNS-namen en -zones te gebruiken voor interne en externe hosts en de instructies te volgen over hoe Dynamische Updates in Windows correct te configureren. Dit zal het risico op conflicten verminderen en het makkelijker maken voor computers op uw lokale netwerk om hun DNS-instellingen automatisch op te lossen.
Beheerde DNS-providers kunnen ook het probleem van DNS-kaping oplossen door domeinen te verifiëren en te valideren voordat ze klanten vragen ze te registreren. Bovendien kunnen ze de “gereserveerde namen” specificatie van de RFC volgen om dit te voorkomen.
Bedrijven met gehuurde DNS-servers kunnen lekken in hun internetnetwerkverkeer voorkomen door hun dynamische DNS bij te werken en de standaard Start-of-Authority (SOA) record te wijzigen.
Conclusie
Wiz Researchers hebben een nieuw DNS-lek ontdekt dat DDOS-aanvallen kan veroorzaken. Het is getest en bewezen dat het de mogelijkheid heeft voor spionage door staten. Het lek kan bedrijven, individuen en overheidsinstanties beïnvloeden. Het kan gevoelige informatie over werknemers vrijgeven en bedrijven verstoren. Amazon en Google hebben het probleem in hun systeem opgelost, maar Microsoft houdt vol dat er geen kwetsbaarheid is.
Wiz-onderzoekers adviseerden organisaties om hun DNS te updaten en cybersecurity serieus te nemen om DDOS-aanvallen te voorkomen.