机密级泄露会使国家安全和利益遭受特别严重的损害

核心提示一种新的DNS漏洞被发现在近期的Black Hat大会上,Wiz.io的研究人员披露了他们从DNS托管服务提供商构建的服务逻辑中,发现了一种新的DNS漏洞类型。该漏洞一旦被利用,可能会给企业甚至国家带来巨大安全风险,正如Wiz.io研究人员

发现了一个新的DNS漏洞。

在最近的黑帽大会上,Wiz.io的研究人员透露,他们从DNS托管服务提供商构建的服务逻辑中发现了一种新型的DNS漏洞。

该漏洞一旦被利用,可能会给企业甚至国家带来巨大的安全隐患,正如Wiz.io的研究人员所描述的:“这个新的DNS漏洞让国家级的窃取活动变得像注册域名一样简单!”

以下是Wiz.io公布的漏洞详细描述:

漏洞的详细信息

https://www . wiz . io/blog/black-hat-2021-DNS-loophole-makes-nation-state-level-spying-as-easy-registing-a-domain

漏洞补救建议

https://www . wiz . io/blog/is-your-organization-leaking-sensitive-dynamic-DNS-data-heres-how-to-find-out

场景恢复漏洞详细信息

为便于理解,以下是互联网域名系统国家工程研究中心技术专家对wiz.io披露的DNS漏洞细节的“情景”恢复:

企业A将其权威域example.com托管在AWS上,AWS是一个可以提供DNS即服务的云服务提供商。使用云服务的好处不言而喻。可以为企业A提供全球分布式域名解析、更强的抗DDoS能力和更灵活的混合云解决方案。

于是,企业A在AWS上注册了账号,并在AWS上建立了example.com权威专区,在其中创建了www、mail等所有服务域名。作为一个标准的DNS服务,当企业A创建权威区域时,AWS将为example.com的权威区域生成一个SOA记录。内容如下:

ns-1161.awsdns-61.co.uk。awsdns-hostmaster.amazon.com。1 7200 900 1209600 86400

SOA记录的第一部分代表example.com权威区域中主DNS服务器的名称。事实上,它告诉游客,虽然有多个域名在example.com,主要的域名是ns-1161.awsdns-61.co.uk。而传统DNS场景中的主DNS角色意味着它可以接受DNS动态更新指令。

a .为了方便企业,在内部IT应用服务和内部终端的管理中使用了域服务。员工的Windows电脑通常在企业网络环境中使用域控制提供的DNS服务。当员工电脑的IP地址发生变化或者在某些情况下,电脑会主动向企业的本地DNS发起动态指令。

这个指令的内容除了终端的IP地址之外,如果请求的内容中有规则的话,其实也可以推断出用户的信息。比如Zhangsan-pc.sales.example.com,可能是a公司销售部张三的终端,为了方便管理,大部分企业IT经理肯定会把这个内容做得“比较有规律”。

接下来,关键点出现了:恶意的人也注册了AWS账号,并直接创建了ns-1161.awsdns-61.co.uk。域上AWS平台,然后创造了ns-1161.awsdns-61.co.uk的一项纪录。对应自己的私人服务器1.3.3.7进行劫持查询。

作为AWS的云服务提供商,平台天生提供“多租户”隔离能力,表面上看起来没什么问题。然而,wiz.io的研究人员发现ns-1161.awsdns-61.co.uk。是AWS的公有云DNS名称,一旦创建了这个“特殊”的名称,这个名称的租户之间的隔离就被打破了!

A公司的员工带着windows电脑离开公司网络,回家连接wifi。当他开始正常上网和工作时,windows电脑开始执行动态更新操作,这个指令终于在此时通过“外部DNS”发送到AWS。

AWS作为公共云服务,当然无法完成这个指令的正常交互。因此,根据自己的机制,windows查询了主DNS ns-1161.awsdns-61.co.uk的A记录。example.com SOA的,得到了1.3.3.7的地址,最后发送动态更新数据到这个地址。这样一来,恶意者就可以轻松获取企业A员工发送的信息,甚至生成员工办公地点的地图画像!

这个漏洞带来的思考。

DNS从诞生到现在已经有几十年的历史,现在是支撑大数据、云计算、人工智能等新技术快速发展的基础设施。面对环境的变化,如果继续使用或沿用传统的DNS软件、DNS场景和专门为可信内部企业搭建的DNS架构作为企业乃至国家的域名管理系统,就会暴露出更多的漏洞。

对于上述案例中的企业,我们建议在使用域名和设计DNS系统时:

域名规划要做好顶层,比如拆分域名,规范哪些域名是内部的,哪些是外部的,避免类似问题。

域名管理要从“点到面”的“扁平化管理”向“多平面、立体化”的域名管理转变,做好分级管理,通过系统化技术实现全网域名管控。

DNS系统的架构和软件应与企业的信息化建设和升级同步演进。不同场景下DNS系统的设计和软件实现要有整体解决方案。

目前AWS和Google已经及时修复了这个问题,但是ZDNS公有云解析服务平台不存在这个问题。同时,通过ZDNS专业DNS安全在线检测工具check.zdns.cn,我们发现国内企业的DNS系统仍然存在很多隐患,比如以下两家企业的检测结果:

企业域名存在“父子域”不一致的问题,即顶级域com认为自己有三个DNS,名称为ns11-ns13,但在企业的DNS系统上配置的名称出现了ns4和ns5。在这种情况下,如果ns4和ns5出现问题,将会立即导致拒绝服务。即使没有问题,由于这种不合规的配置,部分LocalDNS触发逻辑判断问题,可能导致大的解析延迟或部分区域解析异常。

其实企业搭建了一个DNS集群,表面上可以支持大流量查询,但是它只使用了一个NS名称和一个IP服务,极易被攻击者利用进行缓存和投毒。因为,攻击者只需要模拟一个源IP来替换企业的DNS响应分析结果,就可以毒害本地DNS的缓存。一旦投毒成功,将给企业带来巨大损失。

不难看出,DNS的建设是一个系统工程,DNS的安全保护涉及到多个维度。面对频繁出现的DNS安全漏洞,企业必须更加重视,及时检测发现,填补漏洞,避免造成更大的损失。

 
友情链接
鄂ICP备19019357号-22