《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 亞馬遜/谷歌DNS托管服務爆嚴重漏洞,可竊取企業(yè)內網敏感信息

亞馬遜/谷歌DNS托管服務爆嚴重漏洞,,可竊取企業(yè)內網敏感信息

2021-08-06
來源:安全圈
關鍵詞: 亞馬遜谷歌 DNS 漏洞

  研究發(fā)現,,亞馬遜、谷歌等多款DNS托管服務存在問題,,攻擊者可以劫持平臺解析節(jié)點,,攔截部分傳入的DNS流量,并據此映射出企業(yè)的內部網絡,;

  這次事件再次引發(fā)擔憂,,持續(xù)收集敏感信息的托管DNS平臺,很可能成為惡意人士理想的網絡間諜與情報數據收集目標,。

  在日前召開的美國黑帽安全大會(Black Hat USA 2021)上,,云安全廠商Wiz公司兩位安全研究員Shir Tamari與Ami Luttwak披露一項影響托管DNS服務商的新問題。利用這個bug,,攻擊者可以劫持平臺節(jié)點,、攔截部分傳入的DNS流量并據此映射客戶的內部網絡。

  這項漏洞也讓人們再次意識到,,持續(xù)收集敏感信息的托管DNS平臺,,很可能成為惡意人士理想的網絡間諜與情報數據收集目標。

  漏洞原理

  如今,,不少DNS即服務供應商會將DNS服務器出租給企業(yè)客戶,。雖然運行自有DNS名稱服務器難度不算高,但為了擺脫DNS服務器基礎設施管理負擔,、享受更穩(wěn)定的運行時間與一流服務安全保障,,很多企業(yè)還是更傾向于選擇AWS Route53、Google Cloud Platform等托管服務,。要登錄至托管DNS服務商,,企業(yè)客戶一般需要在服務商處注冊自己的內部域名。最常見的方式就是前身后端門戶,,并將company.com及其他域名添加至服務商指定的名稱服務器之一(例如ns-1611.awsdns-09.co.uk),。在完成此項操作之后,當企業(yè)員工需要接入互聯網應用程序或網站時,,他們的計算機就會查詢第三方DNS服務器,,以獲取連接目標的IP地址。Wiz團隊發(fā)現,,某些托管DNS服務商并沒有將后端中的DNS服務器列入黑名單,。在上周的一次采訪中,,Wiz研究人員表示他們已經確認可以在后端添加托管DNS服務商自身的名稱服務器(例如ns-1611.awsdns-09.co.uk),并將其指向自己的內部網絡,。如此一來,,Wiz團隊就能順利劫持被發(fā)送至托管DNS服務商服務器處的DNS流量。但從實際測試來看,,Wiz團隊并沒有收到經由該服務器的所有DNS流量,,只是收到了大量動態(tài)DNS更新。所謂動態(tài)DNS更新,,是指工作站在內網中的IP地址或其他詳細信息發(fā)生變更時,,被發(fā)送至DNS服務器的特殊DNS消息。

  Wiz團隊強調,,雖然無法嗅探目標企業(yè)的實時DNS流量,,但動態(tài)DNS更新已經足以繪制使用同一托管DNS服務器的其他企業(yè)的內網結構圖。

  一座“大寶藏”

  這些數據看似人畜無害,,實際卻并非如此。Tamari與Luttwak表示,,在進行測試的14個小時當中,,他們成功從15000多個組織處收集到動態(tài)DNS更新,其中涉及130多家政府機構與不少財富五百強企業(yè),。這部分泄露數據包括各系統(tǒng)的內部與外部IP地址,、計算機名稱,在某些極端情況下甚至涉及員工姓名,。兩位研究員將收集到的數據形容為一座情報“大寶藏”,。他們還在采訪中強調,這類數據有著廣泛的用途,,包括確定高價值企業(yè)的內部結構,、識別域控制器,而后以遠超傳統(tǒng)隨機發(fā)送垃圾郵件的高針對性精準攻擊向目標發(fā)起沖擊,。例如,,研究團隊能夠確定哪些企業(yè)系統(tǒng)正在運行受NAT保護的IPv4地址,哪些系統(tǒng)運行的是IPv6地址——由于IPv6的天然特性,,這些系統(tǒng)會始終在線并持續(xù)暴露在攻擊視野之下,。除了網絡安全之外,這些數據還有其他用途,。情報機構可以利用這部分數據將各企業(yè)與政府機構交叉關聯起來,,快速找到對應的政府承包商。此外,,Wiz團隊表示在將收集到的數據繪制在地圖上之后,,還可以用于識別違反美國外國資產控制辦公室(OFAC)規(guī)定,,在伊朗及科特迪瓦等受制裁國家開展業(yè)務的企業(yè)。

  亞馬遜與谷歌迅速發(fā)布更新

  Wiz團隊提到,,他們發(fā)現有三家DNS即服務供應商容易受到這個問題的影響,。其中的亞馬遜與谷歌快速行動,已經發(fā)布了相應更新,,第三家服務商也正在著手修復,。在本周的郵件采訪中,亞馬遜與谷歌發(fā)言人回應稱,,已經修復了Wiz發(fā)現的攻擊薄弱點,,現在企業(yè)客戶已無法在后端上注冊服務商自己的域名。我們還詢問兩家企業(yè)是否進行過回溯調查,,明確客戶之前是否曾借此收集其他企業(yè)的數據,。亞馬遜發(fā)言人沒有做出回應,但谷歌表示并未發(fā)現“平臺上有任何惡意濫用的證據”,。此外,,Wiz團隊還懷疑另有十余家DNS即服務供應商也有可能受到類似攻擊的影響。但他們也提到,,這里的問題絕不僅僅是服務商忘記在后端注冊系統(tǒng)中將自己的DNS服務器列入黑名單那么簡單,。首先,為什么動態(tài)DNS更新會首先到達互聯網,?為什么這部分更新信息沒有被限定在本地網絡之內,?研究人員們也提出了自己的假設,即微軟Windows服務器中的一個默認選項,,允許此類DNS流量通過本地網絡傳輸至互聯網,,這可能才是造成問題的元兇。

  在就此事向微軟方面求證時,,微軟發(fā)言人建議企業(yè)客戶按照以下指南操作,,防止動態(tài)DNS更新接觸公共互聯網:

  關于啟用安全Windows Server DNS更新的指南

  https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003

  其他網絡安全最佳實踐信息

  https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx#Using_a_single_namespace_for_internal_an




電子技術圖片.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失,。聯系電話:010-82306118,;郵箱:[email protected]