帝恩思-DNS-域名解析-域名注册-SSL证书-DNS综合服务商
注册登录
全部产品

域名服务

免费DNS 高防DNSHOT 域名注册 超级VIPHOT

防劫持服务

DNS加速HOT DV SSL证书HOT OV/EV SSL证书 网站安全监测

网站服务

宕机切换 IPv6转换HOT IPv6支持度检测 等保服务

云服务器

阿里云服务器
解决方案
域名注册商 CDN服务商 移动应用 游戏云
站长工具
网站测速 PING检测 DNS查询 劫持检测 污染检测 IPv6检测 IPv6检测 ICP备案查询 whois查询 路由跟踪 QQ拦截 微信拦截 域名黑名单
帮助中心
新闻公告
资讯中心
切换至电脑版
首页 行业知识 正文

新的DNS名称服务器劫持攻击,暴露了企业和政府机构

最近更新时间:2021-07-12 15:34:59 来源:51DNS.COM

研究人员在AWSRoute53和其他DNS即服务产品中发现了一类“新型”DNS漏洞,这些漏洞通过一个简单的注册步骤就泄露了企业和政府客户的敏感信息。今年早些时候,Wiz.io的云安全研究人员在浏览AmazonWebServices的Route53域名服务时突然意识到,其自助域名注册系统让他们可以设置一个与它使用的真正的AWS名称服务器。

几秒钟之内,他们震惊地看到他们的虚假名称服务器充斥着来自其他AWS客户网络的DNS查询:外部和内部IP地址、财务、人力资源、生产服务器和组织名称的计算机名称。总而言之,他们从15,000多个不同的AWS客户和一百万个端点设备获得了流量,所有这些都是在将虚假的AWS名称服务器注册为ns-852.awsdns-42.net之后,与实际的AWS名称服务器同名。

DNS漏洞

Wiz.io的联合创始人兼首席技术官、微软云安全团队的前成员AmiLuttwak说:“我们试图弄清楚DNS是如何破坏的,但我们不知道我们得到了什么流量”。“理论上,如果您注册一个名称服务器名称……它应该不会产生任何影响。”

AWSRoute53等DNS服务允许客户更新他们的域名和域名指向的名称服务器以进行DNS查询。研究人员表示,他们刚刚在ns-852.awsdns-42.net中创建了一个新的托管区域,并使用相同的名称并将其指向他们的IP地址。然后,他们收到了来自Route53客户设备的DNS查询,这些查询是指向他们的流氓和同名服务器。

研究人员能够利用该流量收集财富500强公司的信息宝库,其中包括一家商品贸易公司、45个美国政府机构和85个海外政府机构。他们从流量数据中收集了详细信息,例如某些组织的办公室和员工的实际位置。“我们当时明白,我们已经掌握了一套令人难以置信的智能,只需在网络的一小部分接入几个小时,”Luttwak说。“我称其为使用简单域名注册的民族国家情报能力。”

 

例如,研究人员能够使用DNS查询数据深入了解贸易公司以及在伊朗设有分支机构的大型信用合作社子公司和其他组织的办公地点和员工人数。

AWS于2月中旬修复了该漏洞,就在研究人员于1月份向其发出警报后不久,但研究人员联系的至少另外两家供应商尚未在其DNS服务中修复该漏洞。AWS发言人没有提供任何细节,但确认Route53“不受此问题的影响”,并补充说该服务“阻止为与Route53名称服务器关联的DNS名称创建托管区域”。

Wiz.io安全研究团队负责人ShirTamari解释说,关闭AWSRoute53中的漏洞只需将官方AWS名称服务器名称放在所谓的“忽略”列表中。“问题是任何人都可以在平台上注册官方名称服务器,因此他们将名称服务器列表放在一个‘忽略’列表中,这样”攻击者就无法再注册它们。

 

“这是一个非常快速有效的修复,”Tamari补充道。

研究人员表示,另外两家DNS即服务提供商存在该漏洞——这基本上是一个实施缺陷。Wiz.io团队已通知受影响的供应商,但由于问题尚未解决,因此不会透露他们的姓名。Luttwak和Tamari将于8月在拉斯维加斯的BlackHatUSA上展示他们的发现。

“OG”DNS遇到DNSaaS

攻击利用了DNS基础设施中的灰色区域:某些Windows机器上的传统老式DNS技术与当今云DNS服务功能相结合的意外和意外后果。传统的DNS客户端软件很旧——其中一些是20年前编写的——不是为基于云的企业基础设施而构建的,而是为受信任的内部企业域构建的。

研究人员说,端点在查询DNS服务器时会泄露敏感信息,这在很大程度上是DNS本身复杂性的结果。“DNS客户端执行非标准查询,而DNS提供商允许客户在他们的服务器中输入他们自己的DNS区域,”这造成了一个危险的组合,Luttwak说。客户端通过他们的动态DNS更新揭示细节,这在内部DNS基础设施环境中是可以的,但在基于云的DNS服务中运行时,可能会泄露给该服务提供商的其他客户。

 

“因此,当一个在家工作的端点……不再使用[内部]DNS解析器,而是从他们的DNS服务器访问网络时,”它更新了研究人员的流氓名称服务器,而不是自己的,他解释说。“这是一个新世界的组合,您可以在其中注册共享域,并且在20年前放入Windows的所有算法中,为没有互联网问题时构建的逻辑——这不是为了共享DNS服务器。因此,端点将其位置注册到“基于云的名称服务器,”他说。

还有IPv6因素:研究人员发现一些使用较新版本互联网协议(IP)的设备被暴露,因此可以被攻击者访问。“在向我们发送动态DNS数据的数百万个端点中,我们注意到可以访问内部IPv6端点,”Tamari指出。出于这个原因,在家或在办公室外工作并使用IPv6的用户可能会将他们的设备暴露在互联网上。

 

Tamari说,研究人员发现,例如,大约6%的IPv6设备通过HTTP、RDP和SMB暴露。

研究人员表示,他们无法确认是否有任何攻击者在DNS中利用了这一漏洞,但他们发出警告,其他DNS提供商的服务中也可能存在该漏洞。Luttwak说,“对于所有DNS提供商来说,确保他们不会通过这种易受攻击的DNS设置让他们的客户暴露在外是很重要的”。

该漏洞与研究团队在云服务中发现的其他缺陷不同。这不是典型的软件错误:“逻辑流程会导致意想不到的结果,”他说。“它们很难找到,这些新类型的漏洞。这与您构建[DNS]服务的逻辑有关。”

研究人员指出,DNS提供商应使用DNSRFC的保留域名规范、验证域和验证域的所有权。

 

保护您的DNS

组织还可以选择保护他们的DNS流量免受DNS劫持:“组织可以采取一些具体措施来确保DynamicDNS不会进入恶意服务器,”Tamari说,例如防火墙和监控DNS的工具进出端点的流量。

上一篇:2021年每天发生多少次网络攻击? 下一篇:DNS 安全如何帮助应对物联网挑战
相关文档推荐
2024年的高级安全威胁预测 泛域名解析的设置方法? 云播放的好处有哪些? 高防CDN支持哪些线路? 域名服务器的分类有哪些? 如何选择合适的域名? CNAS证书要怎么申请? 域名的申请流程 批量域名注册有什么优势? DOS攻击防范措施有哪些?
Copyright©2012-2024 版权归属 厦门帝恩思科技股份有限公司
闽ICP备11028257号-23 闽公网安备