新DNS安全漏洞使国家级别的窃密如探囊取物

一种新的DNS漏洞被发现

在近期的Black Hat大会上,Wiz.io的研究人员披露了他们从DNS托管服务提供商(如:Amazon Route53、Google Cloud DNS)构建的服务逻辑中,发现了一种新的DNS漏洞类型。

该漏洞一旦被利用,可能会给企业甚至国家带来巨大安全风险,正如Wiz.io研究人员所描述:“这个新的DNS漏洞使国家级别的窃密活动像注册域名一样简单!”

以下是Wiz.io发布的漏洞详情描述:

●漏洞的详情

●漏洞修复建议

情景化复原漏洞详情

为了便于理解,以下是互联网域名系统国家工程研究中心(ZDNS)技术专家对本次wiz.io披露的DNS漏洞详情进行的“情景化”复原:

企业A将自己的权威域example.com托管在能提供DNS即服务的云服务商AWS上,使用云服务的好处不言而喻,能为企业A提供全球分布式域名解析,提供更强的抗DDoS能力以及更灵活的混合云解决方案。

于是,企业A在AWS上注册了账号,并在AWS上创建了example.com权威区,在区中创建了如www、mail等所有服务域名。而作为一个标准的DNS服务,AWS会在企业A创建example.com权威区时为此权威区生成一条SOA记录内容如下:

ns-1161.awsdns-61.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

SOA记录的第一个部分代表的是example.com权威区的primary DNS服务器的名称。它其实在告诉来访者,example.com虽然有多个DNS,但primary DNS(主DNS)是ns-1161.awsdns-61.co.uk.,而primary DNS角色在传统DNS场景中代表它可以接受DNS动态更新指令。

企业A为了方便,对内部IT应用服务和企业内部终端的管理使用了域服务。员工的windows电脑平时在企业网络环境中使用的是域控提供的DNS服务,当员工的电脑IP地址发生变化或者一些情况下,电脑会主动向企业本地的DNS发起动态指令。

通过这个指令内容除了可以看到终端的IP地址外,如果请求的内容有规则的话,其实也能推测出使用者的信息。例如zhangsan-pc.sales.example.com,这可能是企业A公司销售部-张三的终端。为了方便管理,大多数企业IT管理人员一定会让这个内容“更加规则”。

接下来,重点出现了:恶意人员也注册了AWS账号,并在AWS平台上直接创建ns-1161.awsdns-61.co.uk.域,然后创建ns-1161.awsdns-61.co.uk.的A记录对应自己私建的一个用于劫持查询的服务器1.3.3.7。

AWS作为云服务提供商,平台天生提供“多租户”隔离能力,这样的操作表面看没什么问题。但wiz.io研究人员发现,ns-1161.awsdns-61.co.uk.因自身就是AWS的公有云DNS名字,一旦创建了这个“特殊”名字,此名字的租户之间隔离就被打破了!

企业A的员工带着windows电脑离开了企业网络,回到家连上wifi。当他开始像平常一样上网、办公的时候,windows电脑开始要执行动态更新的操作,这个指令通过此时的“外部DNS”最终发给了AWS。

而AWS作为公有云服务,肯定无法完成此指令的正常交互。于是,windows按照自己的机制查询了example.com的SOA的primary DNS ns-1161.awsdns-61.co.uk. 的A记录,拿到了1.3.3.7这个地址,最终向这个地址发出动态更新数据。于是,恶意人员轻松获取到企业A员工发来的信息,甚至生成了员工办公地点的地图画像!

新DNS安全漏洞使国家级别的窃密如探囊取物

新DNS安全漏洞使国家级别的窃密如探囊取物

此漏洞带给我们的思考

DNS从诞生至今已经有数十年历史,如今它是支撑大数据、云计算、人工智能等新技术快速发展的基础设施。面对环境的变化,如果我们还是继续使用或者按照传统的、专门为受信内部企业所构建的DNS软件、DNS场景、DNS架构作为企业甚至国家的域名管理系统,会暴露出来更多漏洞。

针对上述案例中的企业,我们建议企业在使用域名、设计DNS系统时:

(1)域名的规划要做顶层设计,例如将域名进行拆分,规范哪些域名是内部的、哪些域名是外部的,从而避免类似问题的发生。

(2)域名的管理要从“由点到面”的“平面化”管理,走向“多平面,立体式”的域名管理,做好分层管理,要通过系统化的技术实现全网域名管控。

(3)DNS系统架构和软件要与企业的信息化建设升级同步演进,内网-外网、云上-云下,不同场景中DNS系统的设计和软件实现要有整体的解决方案。

目前了解到AWS和Google已经及时修复了这个问题,ZDNS公有云解析服务平台并不存在此问题。同时,通过ZDNS专业的DNS安全在线检测工具check.zdns.cn,我们发现目前国内企业DNS系统还存在很多隐患,例如下面两个企业的检测结果:

新DNS安全漏洞使国家级别的窃密如探囊取物

该企业域名存在"父子域"不一致问题,即顶级域com认为他有3个DNS,且名字是ns11-ns13,而企业的DNS系统上配置的名字却出现ns4和ns5。在这个场景下,如果ns4和ns5出现问题,则马上会导致拒绝服务。而即使不出问题,因为这种不合规配置,导致部分LocalDNS触发了逻辑判断问题,进而可能部分地区出现解析延时大,或者解析异常。

新DNS安全漏洞使国家级别的窃密如探囊取物

该企业实际是做了一个DNS集群,表面看是能支撑大流量的查询,但它对外只用一个NS名称和一个IP服务,这极其容易被攻击者利用达到缓存投毒的目的。因为,攻击者只需要模拟一个源IP来代替该企业DNS应答解析结果,实现对LocalDNS的缓存投毒。一旦投毒成功,将给企业带来巨大损失。

从中我们不难看出,DNS的建设是一个系统工程,DNS的安全防护涉及诸多维度。面对频繁发生的DNS安全漏洞,企业务必要提高重视程度,及时检测发现,填补漏洞,避免造成更大的损失。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )

Baidu
map