Поделиться
Amazon и Google спешно латают 10-летнюю брешь в своих DNS-платформах. Microsoft спокоен
Серьезная уязвимость в архитектуре DNS-провайдеров была раскрыта на Black Hat Security. Баг позволяет перехватывать часть входящего DNS-трафика.Amazon, Google и другие
На конференции Black Hat Security была раскрыта серьезная уязвимость, затрагивающая крупнейших DNS-провайдеров. Эта уязвимость позволяет захватывать контроль над узлами платформы, перехватывать часть входящего DNS-трафика и собирать подробные данные о внутренних сетях клиентов DNS-провайдеров.
Amazon и Google уже вносят изменения в свои DNS-платформы, но проблема затрагивает далеко не только их. DNS-провайдеры предоставляют серверы DNS в аренду корпоративным клиентам, которые не хотят расходовать силы и средства на развертывание и поддержку собственных DNS-ресурсов.
Как выяснили эксперты компании Wiz Шир Тамари (Shir Tamari) и Ами Луттвак (Ami Luttwak), уязвимость позволяет «перехватывать общемировой динамический DNS-трафик, проходящий через таких провайдеров как Amazon и Google».
Эксплуатация уязвимости выглядит достаточно просто: исследователи зарегистрировали домен и использовали его для захвата контроля над сервером имен провайдера — AmazonRoute 53, что позволило им просматривать динамический DNS-трафик, исходящий из сетей клиентов Route 53.
«AWS Route 53 содержит около 2 тыс. DNS-серверов, которые используются совместно всеми их пользователями. Мы зарегистрировали новый домен на платформе Route53 с тем же названием, что и официальный DNS-сервер (с технической точки зрения, мы создали новую “хост-зону” внутри сервера имен AWSns-1611.awsdns-09.co.uk и назвали ее ns-852.awsdns-42.net), — пишут исследователи. — При каждом добавлении домена к Route53, выделяются четыре разных DNS-сервера для управления доменом. Мы удостоверились, что сервер имен, который мы зарегистрировали на платформе, находится под управлением того же сервера. По сути, мы повторили этот процесс примерно на 2 тыс. серверах имен только на AWS... Теперь мы частично контролировали зону хостов и могли перенаправить ее на свой IP-адрес. Каждый раз, когда DNS-клиент опрашивает этот сервер имен... трафик направляется на наш IP-адрес».
Эксперты уточнили, что запросы к серверу имен направляются тысячами устройств, которым требуется обновление их IP-адресов внутри сети.
«Трафик, который мы “прослушивали”, поступал от 15 тыс. организаций, в том числе компаний из списка Fortune 500, 45 правительственных организаций в США и 85 международных правительственных организаций», — заявили исследователи.
По их словам, они видели самые разные данные — от простых названий рабочих компьютеров и имен их пользователей до весьма чувствительной информации об инфраструктуре организаций, в том числе сетевых устройствах, открытых для доступа извне.
В одном случае эксперты смогли составить подробную карту офисов одной из крупнейших сервисных компаний, используя трафик, исходящий от 40 тыс. конечных точек (рабочих станций, серверов и т. д.) компании.
Шпионские возможности национального государства
Подобные сведения могут заметно облегчить потенциальным киберзлоумышленникам задачу по компрометации чужой инфраструктуры. Как выразились эксперты, уязвимость предоставляет злоумышленникам «шпионские возможности уровня национального государства».
По данным Тамари и Луттвака, из шести крупнейших DNSaaS-провайдеров, которых они изучили, три оказались уязвимы. Информации о том, что этой уязвимостью кто-то уже воспользовался, нет, но при должном уровне подготовки и знании об этой уязвимости потенциальные злоумышленники могли бы более десятка лет шпионить за множеством компаний, оставаясь совершенно незамеченными.
В то время как Amazon и Google уже приняли меры к нейтрализации проблемы, в Microsoft, например, заявили, что речь идет не об уязвимости, а об «известной проблеме» с неправильными настройками, которая случается, когда организация работает с внешними DNS-преобразователями. В Microsoft рекомендуют использовать разные имена и зоны DNS для внутренних и внешних хостов, чтобы избежать конфликтов в DNS и проблем с сетями.
Поставщики управляемых DNS-услуг могут решить проблему, следуя рекомендациям по резервированию имен RFC, а также проверяя принадлежность и доступность доменов до того как разрешать регистрировать их своим пользователям.
Компаниям, которые берут серверы DNS в аренду, рекомендовано перенастроить запись Start-of-Authority так, чтобы внутренний трафик не мог утекать через динамические обновления DNS.
«Речь идет об архитектурной особенности, которая может эксплуатироваться как уязвимость, но которую до сих пор едва ли воспринимали в таком качестве, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Теперь неочевидное становится очевидным, и DNS-провайдерам, как и их клиентам, сейчас будет необходимо срочно перенастраивать соответствующие системы, чтобы избежать сценария, описываемого Тамари и Луттваком.
Короткая ссылка
