Forskarar Oppdagar Ny DNS-sårbarheit Med Kapasitetar for Statleg Overvaking

Nyleg vart det oppdaga ei ny DNS-sårbarheit. Ifølgje forskarar kan denne feilen gi hackarar spionasje-evner på nasjonalstatsnivå og tilgang til informasjon på personlege og bedriftsnettverk. Denne sårbarheita har store konsekvensar for leverandørar av DNS-som-ein-teneste.

Forskarar frå Wiz, eit selskap for tryggleik i skyinfrastruktur, undersøkte sårbarheita gjennom ein Amazon Route 53 og oppdaga angrepsmetoden. Dei sa, «Vi fann ei enkel smutthole som gjorde det mogleg for oss å avlytte ein del av den globale dynamiske DNS-trafikken som gjekk gjennom administrerte DNS-leverandørar som Amazon og Google».

Forskarane hevda at feilen kan påverke private og offentlege etatar over heile verda. «Den dynamiske DNS-trafikken vi «avlytta» kom frå over 15 000 organisasjonar, inkludert Fortune 500-selskap, 45 amerikanske statlege etatar, og 85 internasjonale statlege etatar,» sa Wiz.

Vidare kan hacken føre til angrep på DNS-kapring. Forskinga viser at ein kan lenkje eit domenenamn (som amazonaws.com) til ein Amazon S3-bøtte (der verten ligg i Route 53) og deretter opprette ein endringspost og knyte den til eit domenenamn. Dette gjer det mogleg for ein angripar å omdirigere trafikk frå sitt eige domenenamn, og dermed omgå beskyttelsane som er sett på plass av AWS. 

«Kvar gong ein DNS-klient spør denne namnetenaren om seg sjølv (noko som tusenvis av einingar gjer automatisk for å oppdatere IP-adressa si innanfor nettverket dei er styrte av – meir om det om eit minutt), går den trafikken direkte til IP-adressa vår,» uttalte forskarane frå Wiz. 

Mogleg Innverknad av den Nye DNS-sårbarheita 

Basert på testen som vart gjennomført, skal Wiz Researchers angiveleg ha motteke DNS-trafikk frå over 15 000 organisasjonar. Dataene dei mottek inkluderte IP-adresser, kontorlokasjonar og brukarnamn.

Forskarar seier at problemet er knytt til ein algoritme som Windows-einingar brukar for å finne og oppdatere ein hovud-DNS-server når IP-adresser endrar seg. «[Den lekka trafikken] gir nokon eit fugleperspektiv på kva som skjer inne i bedrifter og regjeringar. Vi samanliknar dette med å ha spionasjekapasitet på nasjonalstatsnivå, og å få tak i det var like enkelt som å registrere eit domene,» uttalte Wiz-forskarane.

Potensialet for påverknaden av eit cyber-angrep vart demonstrert når forskarane brukte dei innsamla dataene frå trafikken til over 40,0000 tenarar for å kartleggje kor tilsette i eit stort tenesteselskap bur.

Data som vart mottekne inkluderte òg tilsetjingsdetaljar og sensitiv informasjon om organisasjonen sin infrastruktur. Med informasjonen som finst på dei fleste bedriftsnettsider, kan ein trugsmålsaktør ha alt — eit oversyn over alle tilsette, lokasjonar, strukturar og andre ting som kan brukast til å bryte seg inn i eit nettverk.

Forskarar på Black Hat sa, «Verknaden er enorm. Av dei seks store DNSaaS-leverandørane vi undersøkte, var tre sårbare for registrering av namnetenar. Kvar skyleverandør, domeneregistrar og nettstadvert som tilbyr DNSaaS, kan vere sårbar.»

Forskarane la til at det ikkje finst bevis for at DNS-sårbarheita tidlegare var utnytta i det fri. Likevel kunne nokon med kunnskap om den og nokre ferdigheiter ha misbrukt den i meir enn eit tiår.

Å fikse DNS-sårbarheita

Etter at Amazon og Google vart varsla, fiksa dei feilen. Likevel trur forskarane hos Wiz at andre DNS-leverandørar kan vere sårbare og kan utsetje millionar for angrepet.

Forskarane varsla òg Microsoft, men dei svara med at det var ein «kjend feilkonfigurasjon som oppstår når ein organisasjon arbeider med eksterne DNS-resolvere,» og ikkje ein sårbarheit.

Sidan Microsoft, som kan justere den dynamiske DNS-algoritmen, allereie hevdar at det ikkje er ein sårbarheit, er det difor uklart kven som bør fikse denne kritiske DNS-feilen. 

Wiz seier at tenesteleverandørar kan ta nokre steg for å forhindre datalekkasje og DDOS-angrep. Organisasjonar kan forhindre datalekkasje ved å konfigurere DNS-resolverane sine på rett måte.

Redmond si tilråding er å bruke ulike DNS-namn og soner for interne og eksterne vertar og følgje instruksjonane om korleis ein på rett måte konfigurerer Dynamiske Oppdateringar i Windows. Dette vil redusere risikoen for konfliktar og gjere det enklare for datamaskiner på ditt lokale nettverk å løyse DNS-innstillingane sine automatisk.

Administrerte DNS-leverandørar kan òg fikse problemet med DNS-kapring ved å verifisere og validere domene før dei ber kundar om å registrere dei. Vidare kan dei følgje RFC sin spesifikasjon for «reserverte namn» for å forhindre det.

Bedrifter med leigde DNS-tenarar kan forhindre lekkasjar på internett-nettverkstrafikken sin ved å oppdatere den dynamiske DNS-en og endre standard Start-of-Authority (SOA)-posten.

Konklusjon

Wiz-forskarar oppdaga ein ny DNS-feil som kan føre til DDOS-åtak. Det vart testa og bevist å ha kapasiteten til spionasje på statsnivå. Feilen kan påverke bedrifter, enkeltpersonar så vel som offentlege etatar. Den kan frigi sensitiv informasjon om tilsette og forstyrre bedrifter. Amazon og Google fiksa problemet på systemet sitt, men Microsoft insisterer på at det ikkje er nokon sårbarheit.

Wiz-forskarar rådde organisasjonar til å oppdatere DNS-en sin og ta kybertryggleik på alvor for å førebyggje DDOS-åtak.