Серьезная уязвимость в архитектуре DNS-провайдеров была раскрыта на Black Hat Security. Баг позволяет перехватывать часть входящего DNS-трафика.
Amazon, Google и другие
На конференции Black Hat Security была раскрыта серьезная
уязвимость, затрагивающая крупнейших DNS-провайдеров. Эта уязвимость позволяет захватывать
контроль над узлами платформы, перехватывать часть входящего DNS-трафика и собирать
подробные данные о внутренних сетях клиентов DNS-провайдеров.
Amazon и Google
уже вносят изменения в свои DNS-платформы, но проблема затрагивает далеко не
только их. DNS-провайдеры
предоставляют серверы DNS в аренду корпоративным клиентам, которые не хотят расходовать силы и
средства на развертывание и поддержку собственных DNS-ресурсов.
Как выяснили эксперты
компании Wiz Шир Тамари (Shir Tamari) и Ами Луттвак (Ami Luttwak), уязвимость позволяет «перехватывать общемировой
динамический DNS-трафик, проходящий через таких провайдеров как Amazon и Google».
Эксплуатация уязвимости
выглядит достаточно просто: исследователи зарегистрировали домен и использовали
его для захвата контроля над сервером имен провайдера — AmazonRoute 53, что позволило им просматривать динамический DNS-трафик, исходящий из
сетей клиентов Route 53.
«AWS Route 53 содержит около 2 тыс. DNS-серверов, которые используются совместно всеми их
пользователями. Мы зарегистрировали новый домен на платформе Route53 с тем же названием,
что и официальный DNS-сервер (с технической точки зрения, мы создали новую “хост-зону” внутри сервера
имен AWSns-1611.awsdns-09.co.uk и назвали ее ns-852.awsdns-42.net), — пишут исследователи. — При каждом добавлении
домена к Route53,
выделяются четыре разных DNS-сервера для управления доменом. Мы удостоверились, что сервер имен,
который мы зарегистрировали на платформе, находится под управлением того же
сервера. По сути, мы повторили этот процесс примерно на 2 тыс. серверах имен
только на AWS…
Теперь мы частично контролировали зону хостов и могли перенаправить ее на свой IP-адрес. Каждый раз, когда DNS-клиент опрашивает этот
сервер имен… трафик направляется на наш IP-адрес».
Эксперты уточнили, что
запросы к серверу имен направляются тысячами устройств, которым требуется обновление
их IP-адресов
внутри сети.
«Трафик, который мы “прослушивали”,
поступал от 15 тыс. организаций, в том числе компаний из списка Fortune 500, 45
правительственных организаций в США и 85 международных правительственных
организаций», — заявили исследователи.
По их словам, они видели
самые разные данные — от простых названий рабочих компьютеров и имен их
пользователей до весьма чувствительной информации об инфраструктуре
организаций, в том числе сетевых устройствах, открытых для доступа извне.
В одном случае эксперты
смогли составить подробную карту офисов одной из крупнейших сервисных компаний,
используя трафик, исходящий от 40 тыс. конечных точек (рабочих станций,
серверов и т. д.) компании.
Шпионские возможности национального государства
Подобные сведения могут
заметно облегчить потенциальным киберзлоумышленникам задачу по компрометации
чужой инфраструктуры. Как выразились эксперты, уязвимость предоставляет
злоумышленникам «шпионские возможности уровня национального государства».
По данным Тамари и
Луттвака, из шести крупнейших DNSaaS-провайдеров, которых они изучили, три оказались
уязвимы. Информации о том, что этой уязвимостью кто-то уже воспользовался, нет,
но при должном уровне подготовки и знании об этой уязвимости потенциальные
злоумышленники могли бы более десятка лет шпионить за множеством компаний,
оставаясь совершенно незамеченными.
В то время как Amazon и Google уже приняли меры к
нейтрализации проблемы, в Microsoft, например, заявили, что речь идет не об
уязвимости, а об «известной проблеме» с неправильными настройками, которая
случается, когда организация работает с внешними DNS-преобразователями. В Microsoft рекомендуют использовать разные имена и зоны DNS для внутренних и внешних
хостов, чтобы избежать конфликтов в DNS и проблем с сетями.
Поставщики управляемых DNS-услуг могут решить
проблему, следуя рекомендациям по резервированию имен RFC, а также проверяя принадлежность и доступность
доменов до того как разрешать регистрировать их своим пользователям.
Компаниям, которые берут
серверы DNS в
аренду, рекомендовано перенастроить запись Start-of-Authority так, чтобы внутренний трафик не мог утекать через
динамические обновления DNS.
«Речь идет об
архитектурной особенности, которая может эксплуатироваться как уязвимость, но
которую до сих пор едва ли воспринимали в таком качестве, — считает Михаил Зайцев, эксперт по
информационной безопасности компании SEC Consult Services. — Теперь неочевидное становится очевидным, и DNS-провайдерам, как и их
клиентам, сейчас будет необходимо срочно перенастраивать соответствующие
системы, чтобы избежать сценария, описываемого Тамари и Луттваком.