Naukowcy odkrywają nową podatność DNS z możliwościami szpiegostwa na poziomie państwowym
Ostatnio odkryto nową podatność DNS. Według badaczy, luka ta może dać hakerom możliwości szpiegostwa na poziomie państwowym oraz dostęp do informacji w sieciach osobistych i korporacyjnych. Ta podatność ma duże znaczenie dla dostawców DNS jako usługi.
Badacze z Wiz, firmy zajmującej się bezpieczeństwem infrastruktury chmurowej, zbadali podatność za pomocą Amazon Route 53 i odkryli metodę ataku. Powiedzieli: „Odkryliśmy prostą lukę, która pozwoliła nam przechwycić część światowego ruchu dynamicznego DNS przechodzącego przez zarządzane dostawców DNS, takich jak Amazon i Google”.
Badacze twierdzili, że usterka może wpłynąć na prywatne i rządowe agencje na całym świecie. “Ruch dynamicznego DNS, który ‘podsłuchaliśmy’, pochodził z ponad 15 000 organizacji, w tym firm z listy Fortune 500, 45 agencji rządowych USA oraz 85 międzynarodowych agencji rządowych,” stwierdził Wiz.
Ponadto, atak może prowadzić do ataków typu DNS hijacking. Badania pokazują, że można połączyć nazwę domeny (taką jak amazonaws.com) z kubełkiem Amazon S3 (którego host znajduje się w Route 53), a następnie utworzyć rekord zmiany i przypisać go do nazwy domeny. Pozwala to atakującemu przekierować ruch z własnej nazwy domeny, omijając zabezpieczenia wprowadzone przez AWS.
„Zawsze, gdy klient DNS wysyła zapytanie do tego serwera nazw o siebie (co robią automatycznie tysiące urządzeń, aby zaktualizować swój adres IP w zarządzanej sieci – więcej na ten temat za chwilę), ruch ten kierowany jest bezpośrednio na nasz adres IP” – stwierdzili badacze z Wiz.
## Możliwy wpływ nowej podatności DNS
Na podstawie przeprowadzonego testu, badacze z Wiz rzekomo otrzymali ruch DNS od ponad 15 000 organizacji. Otrzymane dane zawierały adresy IP, lokalizacje biur oraz nazwy użytkowników.
Badacze twierdzą, że problem jest związany z algorytmem, którego urządzenia z systemem Windows używają do wyszukiwania i aktualizowania głównego serwera DNS, gdy zmieniają się adresy IP. „[Przeciekający ruch] daje każdemu możliwość obserwacji z lotu ptaka tego, co dzieje się wewnątrz firm i rządów. Porównujemy to do posiadania możliwości szpiegowania na poziomie państwowym, a zdobycie jej było tak proste, jak zarejestrowanie domeny” – stwierdzili badacze z Wiz.
Potencjalny wpływ cyberataku został zademonstrowany, gdy badacze wykorzystali zebrane dane z ruchu ponad 40,000 serwerów, aby zmapować, gdzie mieszkają pracownicy dużej firmy usługowej.
Otrzymane dane zawierały również szczegóły dotyczące pracowników oraz poufne informacje na temat infrastruktury organizacji. Posiadając informacje znajdujące się na większości firmowych stron internetowych, potencjalny agresor może mieć wszystko — przegląd wszystkich pracowników, lokalizacji, struktur i innych rzeczy, które mogą być wykorzystane do naruszenia sieci.
Badacze z Black Hat powiedzieli: „Skutki są ogromne. Spośród sześciu głównych dostawców DNSaaS, które zbadaliśmy, trzy były podatne na rejestrację serwerów nazw. Każdy dostawca chmury, rejestrator domen i host stron internetowych oferujący DNSaaS może być narażony.”
Badacze dodali, że nie ma dowodów na to, że podatność DNS była wcześniej wykorzystywana w środowisku naturalnym. Jednak każdy, kto miał o niej wiedzę i pewne umiejętności, mógłby ją wykorzystywać przez ponad dekadę.
## Naprawa podatności DNS
Po tym, jak Amazon i Google zostali poinformowani, naprawili usterkę. Jednak badacze z Wiz uważają, że inni dostawcy DNS mogą być podatni i mogą narazić miliony osób na atak.
Badacze powiadomili również Microsoft, ale odpowiedzieli, mówiąc, że to “znana nieprawidłowa konfiguracja, która występuje, gdy organizacja współpracuje z zewnętrznymi serwerami DNS” i nie jest to podatność.
Ponieważ Microsoft, który może dostosować algorytm dynamicznego DNS, już twierdzi, że to nie jest luka. Dlatego niejasne jest, kto powinien naprawić ten krytyczny błąd DNS.
Wiz mówi, że dostawcy usług mogą podjąć pewne kroki, aby zapobiec wyciekom danych i atakowi DDOS. Organizacje mogą zapobiec wyciekom danych poprzez właściwą konfigurację swoich resolverów DNS.
Rekomendacja Redmond polega na używaniu różnych nazw i stref DNS dla hostów wewnętrznych i zewnętrznych oraz na stosowaniu się do instrukcji, jak prawidłowo skonfigurować Dynamiczne Aktualizacje w Windows. To zmniejszy ryzyko konfliktów i ułatwi komputerom w Twojej lokalnej sieci automatyczne rozwiązywanie ich ustawień DNS.
Dostawcy zarządzanego DNS mogą również rozwiązać problem przejęcia DNS, weryfikując i walidując domeny przed zapytaniem klientów o ich rejestrację. Ponadto, mogą stosować się do specyfikacji “zarezerwowanych nazw” RFC, aby temu zapobiec.
Firmy wynajmujące serwery DNS mogą zapobiegać wyciekom w swoim ruchu sieciowym poprzez aktualizację dynamicznego DNS oraz modyfikację domyślnego rekordu Start-of-Authority (SOA).
## Podsumowanie
Badacze z Wiz odkryli nową lukę w DNS, która może powodować ataki DDOS. Zostało przetestowane i udowodnione, że ma zdolność do szpiegostwa na poziomie państwowym. Luka może wpływać na firmy, osoby indywidualne, jak również agencje rządowe. Może ujawnić wrażliwe informacje o pracownikach i zakłócać działalność firm. Amazon i Google naprawili problem w swoich systemach, ale Microsoft nalega, że nie ma żadnej podatności.
Badacze z Wiz doradzili organizacjom, aby zaktualizowali swoje DNS i poważnie podchodzili do cyberbezpieczeństwa, aby zapobiec atakom DDOS.