Cercetătorii descoperă o nouă vulnerabilitate DNS cu capacități de spionaj la nivel de stat național

Recent, a fost descoperită o nouă vulnerabilitate DNS. Conform cercetătorilor, defectul poate oferi hackerilor capacități de spionaj la nivel de stat-națiune și acces la informații pe rețele personale și corporative. Această vulnerabilitate are impacturi majore asupra furnizorilor de DNS-ca-Serviciu.

Cercetătorii de la Wiz, o companie de securitate a infrastructurii cloud, au examinat vulnerabilitatea prin intermediul Amazon Route 53 și au descoperit metoda de atac. Ei au spus, „Am descoperit o breșă simplă care ne-a permis să interceptăm o parte din traficul DNS dinamic la nivel mondial care trecea prin furnizori de DNS gestionat ca Amazon și Google”.

Cercetătorii au afirmat că defecțiunea poate afecta agenții private și guvernamentale din întreaga lume. “Traficul DNS dinamic pe care l-am ‘interceptat’ provenea de la peste 15.000 de organizații, inclusiv companii din Fortune 500, 45 de agenții guvernamentale din SUA și 85 de agenții guvernamentale internaționale,” a declarat Wiz.

În plus, atacul ar putea duce la atacuri de tip DNS hijacking. Cercetările arată că cineva poate asocia un nume de domeniu (cum ar fi amazonaws.com) la un bucket Amazon S3 (a cărui gazdă se află în Route 53) și apoi poate crea o înregistrare de modificare și o poate asocia cu un nume de domeniu. Acest lucru îi permite unui atacator să redirecționeze traficul de la propriul său nume de domeniu, ocolind protecțiile puse în loc de AWS. 

„De fiecare dată când un client DNS interoghează acest server de nume despre sine (ceea ce mii de dispozitive fac automat pentru a-și actualiza adresa IP în cadrul rețelei gestionate – mai multe despre asta într-un minut), acel trafic se îndreaptă direct către adresa noastră IP,” au declarat cercetătorii Wiz.

Impactul posibil al noii vulnerabilități DNS 

Pe baza testului efectuat, se pare că cercetătorii de la Wiz au primit trafic DNS de la peste 15.000 de organizații. Datele pe care le-au primit includeau adrese IP, locații ale birourilor și nume de utilizatori.

Cercetătorii spun că problema este legată de un algoritm pe care dispozitivele Windows îl folosesc pentru a găsi și a actualiza un server DNS principal atunci când adresele IP se schimbă. „[Traficul scurs] oferă oricui o perspectivă de ansamblu asupra a ceea ce se întâmplă în interiorul companiilor și guvernelor. Asemănăm acest lucru cu a avea capacitatea de spionaj la nivel de stat-națiune, și obținerea acesteia a fost la fel de ușoară ca înregistrarea unui domeniu,” au declarat cercetătorii de la Wiz.

Impactul potențial al unui atac cibernetic a fost demonstrat când cercetătorii au folosit datele colectate din traficul a peste 40,000 de servere pentru a cartografia locul unde locuiesc angajații unei mari companii de servicii.

Datele primite au inclus, de asemenea, detalii despre angajați și informații sensibile despre infrastructura organizației. Cu informațiile găsite pe majoritatea site-urilor corporative, un actor de amenințare le poate avea pe toate — o prezentare generală a tuturor angajaților, locațiilor, structurilor și altor lucruri care ar putea fi folosite pentru a pătrunde într-o rețea.

Cercetătorii de la Black Hat au spus, „Impactul este uriaș. Din cei șase mari furnizori de DNSaaS pe care i-am examinat, trei erau vulnerabili la înregistrarea serverelor de nume. Orice furnizor de servicii cloud, registrar de domenii și gazdă de site-uri web care oferă DNSaaS ar putea fi vulnerabil.”

Cercetătorii au adăugat că nu există dovezi că vulnerabilitatea DNS a fost exploatată anterior în mediul online. Totuși, oricine cunoștea aceasta și avea anumite abilități ar fi putut să o abuzeze pentru mai mult de un deceniu.

Remedierea vulnerabilității DNS

După ce Amazon și Google au fost notificate, acestea au remediat problema. Totuși, cercetătorii de la Wiz cred că alți furnizori de DNS ar putea fi vulnerabili și ar putea expune milioane de persoane la atac.

Cercetătorii au notificat de asemenea Microsoft, dar aceștia au răspuns spunând că este o „configurație greșită cunoscută care apare când o organizație lucrează cu rezolvatoare DNS externe,” și nu o vulnerabilitate.

Deoarece Microsoft, care poate ajusta algoritmul DNS dinamic, susține deja că nu este o vulnerabilitate. Prin urmare, nu este clar cine ar trebui să repare această eroare critică DNS. 

Wiz spune că furnizorii de servicii ar putea lua unele măsuri pentru a preveni scurgerile de date și atacul DDOS. Organizațiile pot preveni scurgerile de date prin configurarea corespunzătoare a rezolutoarelor DNS.

Recomandarea Redmond este să utilizați nume DNS și zone diferite pentru gazdele interne și externe și să urmați instrucțiunile despre cum să configurați corect Actualizările Dinamice în Windows. Aceasta va reduce riscul de conflicte și va facilita calculatoarelor de pe rețeaua locală să își rezolve setările DNS automat.

Furnizorii de DNS gestionat pot, de asemenea, să rezolve problema hijacking-ului DNS prin verificarea și validarea domeniilor înainte de a solicita clienților să le înregistreze. În plus, pot urma specificația “numelor rezervate” din RFC pentru a o preveni.

Companiile cu servere DNS închiriate pot preveni scurgerile în traficul lor de internet prin actualizarea DNS-ului dinamic și modificarea înregistrării implicite Start-of-Authority (SOA).

Concluzie

Cercetătorii Wiz au descoperit o nouă vulnerabilitate DNS care poate cauza atacuri DDOS. A fost testată și dovedită că are capacitatea de spionaj la nivel de stat-națiune. Vulnerabilitatea poate afecta afacerile, persoanele fizice, precum și agențiile guvernamentale. Poate dezvălui informații sensibile despre angajați și poate perturba afacerile. Amazon și Google au rezolvat problema în sistemul lor, dar Microsoft insistă că nu există nicio vulnerabilitate.

Cercetătorii de la Wiz au sfătuit organizațiile să își actualizeze DNS-ul și să ia în serios securitatea cibernetică pentru a preveni atacurile DDOS.