研究發(fā)現(xiàn),,亞馬遜、谷歌等多款DNS托管服務(wù)存在問題,,攻擊者可以劫持平臺解析節(jié)點,,攔截部分傳入的DNS流量,并據(jù)此映射出企業(yè)的內(nèi)部網(wǎng)絡(luò),;
這次事件再次引發(fā)擔(dān)憂,,持續(xù)收集敏感信息的托管DNS平臺,很可能成為惡意人士理想的網(wǎng)絡(luò)間諜與情報數(shù)據(jù)收集目標(biāo),。
在日前召開的美國黑帽安全大會(Black Hat USA 2021)上,,云安全廠商Wiz公司兩位安全研究員Shir Tamari與Ami Luttwak披露一項影響托管DNS服務(wù)商的新問題。利用這個bug,,攻擊者可以劫持平臺節(jié)點,、攔截部分傳入的DNS流量并據(jù)此映射客戶的內(nèi)部網(wǎng)絡(luò)。
這項漏洞也讓人們再次意識到,持續(xù)收集敏感信息的托管DNS平臺,,很可能成為惡意人士理想的網(wǎng)絡(luò)間諜與情報數(shù)據(jù)收集目標(biāo),。
漏洞原理
如今,不少DNS即服務(wù)供應(yīng)商會將DNS服務(wù)器出租給企業(yè)客戶,。雖然運行自有DNS名稱服務(wù)器難度不算高,,但為了擺脫DNS服務(wù)器基礎(chǔ)設(shè)施管理負(fù)擔(dān)、享受更穩(wěn)定的運行時間與一流服務(wù)安全保障,,很多企業(yè)還是更傾向于選擇AWS Route53,、Google Cloud Platform等托管服務(wù)。要登錄至托管DNS服務(wù)商,,企業(yè)客戶一般需要在服務(wù)商處注冊自己的內(nèi)部域名,。最常見的方式就是前身后端門戶,并將company.com及其他域名添加至服務(wù)商指定的名稱服務(wù)器之一(例如ns-1611.awsdns-09.co.uk),。在完成此項操作之后,,當(dāng)企業(yè)員工需要接入互聯(lián)網(wǎng)應(yīng)用程序或網(wǎng)站時,他們的計算機就會查詢第三方DNS服務(wù)器,,以獲取連接目標(biāo)的IP地址,。Wiz團隊發(fā)現(xiàn),某些托管DNS服務(wù)商并沒有將后端中的DNS服務(wù)器列入黑名單,。在上周的一次采訪中,,Wiz研究人員表示他們已經(jīng)確認(rèn)可以在后端添加托管DNS服務(wù)商自身的名稱服務(wù)器(例如ns-1611.awsdns-09.co.uk),并將其指向自己的內(nèi)部網(wǎng)絡(luò),。如此一來,,Wiz團隊就能順利劫持被發(fā)送至托管DNS服務(wù)商服務(wù)器處的DNS流量。但從實際測試來看,,Wiz團隊并沒有收到經(jīng)由該服務(wù)器的所有DNS流量,,只是收到了大量動態(tài)DNS更新。所謂動態(tài)DNS更新,,是指工作站在內(nèi)網(wǎng)中的IP地址或其他詳細(xì)信息發(fā)生變更時,,被發(fā)送至DNS服務(wù)器的特殊DNS消息。
Wiz團隊強調(diào),,雖然無法嗅探目標(biāo)企業(yè)的實時DNS流量,,但動態(tài)DNS更新已經(jīng)足以繪制使用同一托管DNS服務(wù)器的其他企業(yè)的內(nèi)網(wǎng)結(jié)構(gòu)圖。
一座“大寶藏”
這些數(shù)據(jù)看似人畜無害,,實際卻并非如此,。Tamari與Luttwak表示,在進(jìn)行測試的14個小時當(dāng)中,,他們成功從15000多個組織處收集到動態(tài)DNS更新,,其中涉及130多家政府機構(gòu)與不少財富五百強企業(yè)。這部分泄露數(shù)據(jù)包括各系統(tǒng)的內(nèi)部與外部IP地址,、計算機名稱,,在某些極端情況下甚至涉及員工姓名。兩位研究員將收集到的數(shù)據(jù)形容為一座情報“大寶藏”,。他們還在采訪中強調(diào),,這類數(shù)據(jù)有著廣泛的用途,包括確定高價值企業(yè)的內(nèi)部結(jié)構(gòu),、識別域控制器,,而后以遠(yuǎn)超傳統(tǒng)隨機發(fā)送垃圾郵件的高針對性精準(zhǔn)攻擊向目標(biāo)發(fā)起沖擊。例如,,研究團隊能夠確定哪些企業(yè)系統(tǒng)正在運行受NAT保護的IPv4地址,,哪些系統(tǒng)運行的是IPv6地址——由于IPv6的天然特性,這些系統(tǒng)會始終在線并持續(xù)暴露在攻擊視野之下,。除了網(wǎng)絡(luò)安全之外,,這些數(shù)據(jù)還有其他用途。情報機構(gòu)可以利用這部分?jǐn)?shù)據(jù)將各企業(yè)與政府機構(gòu)交叉關(guān)聯(lián)起來,,快速找到對應(yīng)的政府承包商,。此外,Wiz團隊表示在將收集到的數(shù)據(jù)繪制在地圖上之后,,還可以用于識別違反美國外國資產(chǎn)控制辦公室(OFAC)規(guī)定,,在伊朗及科特迪瓦等受制裁國家開展業(yè)務(wù)的企業(yè)。
亞馬遜與谷歌迅速發(fā)布更新
Wiz團隊提到,,他們發(fā)現(xiàn)有三家DNS即服務(wù)供應(yīng)商容易受到這個問題的影響,。其中的亞馬遜與谷歌快速行動,已經(jīng)發(fā)布了相應(yīng)更新,,第三家服務(wù)商也正在著手修復(fù),。在本周的郵件采訪中,亞馬遜與谷歌發(fā)言人回應(yīng)稱,,已經(jīng)修復(fù)了Wiz發(fā)現(xiàn)的攻擊薄弱點,,現(xiàn)在企業(yè)客戶已無法在后端上注冊服務(wù)商自己的域名。我們還詢問兩家企業(yè)是否進(jìn)行過回溯調(diào)查,,明確客戶之前是否曾借此收集其他企業(yè)的數(shù)據(jù),。亞馬遜發(fā)言人沒有做出回應(yīng),但谷歌表示并未發(fā)現(xiàn)“平臺上有任何惡意濫用的證據(jù)”,。此外,,Wiz團隊還懷疑另有十余家DNS即服務(wù)供應(yīng)商也有可能受到類似攻擊的影響。但他們也提到,,這里的問題絕不僅僅是服務(wù)商忘記在后端注冊系統(tǒng)中將自己的DNS服務(wù)器列入黑名單那么簡單,。首先,,為什么動態(tài)DNS更新會首先到達(dá)互聯(lián)網(wǎng)?為什么這部分更新信息沒有被限定在本地網(wǎng)絡(luò)之內(nèi),?研究人員們也提出了自己的假設(shè),,即微軟Windows服務(wù)器中的一個默認(rèn)選項,允許此類DNS流量通過本地網(wǎng)絡(luò)傳輸至互聯(lián)網(wǎng),,這可能才是造成問題的元兇,。
在就此事向微軟方面求證時,微軟發(fā)言人建議企業(yè)客戶按照以下指南操作,,防止動態(tài)DNS更新接觸公共互聯(lián)網(wǎng):
關(guān)于啟用安全Windows Server DNS更新的指南
https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003
其他網(wǎng)絡(luò)安全最佳實踐信息
