新闻详情

新DNS安全漏洞使国家级别的窃密如探囊取物,ZDNS专家分析解读

2976
发表时间:2021-08-09 09:33



一种新的DNS漏洞被发现

在近期的Black Hat大会上,Wiz.io的研究人员披露了他们从DNS托管服务提供商(如:Amazon Route53Google Cloud DNS构建的服务逻辑中,发现了一种新的DNS漏洞类型。


该漏洞一旦被利用,可能会给企业甚至国家带来巨大安全风险,正如Wiz.io研究人员所描述这个新的DNS漏洞使国家级别的窃密活动像注册域名一样简单


以下是Wiz.io发布的漏洞详情描述:

漏洞的详情

https://www.wiz.io/blog/black-hat-2021-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain

漏洞修复建议

https://www.wiz.io/blog/is-your-organization-leaking-sensitive-dynamic-dns-data-heres-how-to-find-out


情景化复原漏洞详情

为了便于理解,以下是互联网域名系统国家工程研究中心(ZDNS)技术专家对本次wiz.io披露的DNS漏洞详情进行的情景化复原


企业A将自己的权威域example.com托管在能提供DNS即服务云服务商AWS上,使用云服务的好处不言而喻,能为企业A提供全球分布式域名解析,提供更强的抗DDoS能力以及更灵活的混合云解决方案。


于是,企业AAWS上注册了账号,并在AWS上创建了example.com权威区,在区中创建了如wwwmail等所有服务域名而作为一个标准的DNS服务AWS会在企业A创建example.com权威区时为此权威区生成一条SOA记录内容如下:

ns-1161.awsdns-61.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400


SOA记录的第一个部分代表的是example.com权威区的primary DNS服务器的名称。它其实在告诉来访者,example.com虽然有多个DNS,但primary DNS(主DNS)是ns-1161.awsdns-61.co.uk.,而primary DNS角色在传统DNS场景中代表它可以接受DNS动态更新指令。


企业A为了方便对内部IT应用服务和企业内部终端的管理使用了域服务。员工的windows电脑平时在企业网络环境中使用的是域控提供的DNS服务,当员工的电脑IP地址发生变化或者一些情况下,电脑会主动企业本地的DNS发起动态指令


通过这个指令内容除了可以看到终端的IP地址,如果请求的内容有规则的话,其实也能推测出使用者的信息。例如zhangsan-pc.sales.example.com,这可能是企业A公司销售部-张三的终端。为了方便管理,大多数企业IT管理人员一定会让这个内容更加规则


接下来,重点出现了恶意人员也注册了AWS账号,并在AWS平台上直接创建ns-1161.awsdns-61.co.uk.域,然后创建ns-1161.awsdns-61.co.uk.A记录对应自己私建的一个用于劫持查询的服务器1.3.3.7


AWS作为服务提供,平台天生提供多租户隔离能力,这样的操作表面看没什么问题。但wiz.io研究人员发现,ns-1161.awsdns-61.co.uk.因自身就是AWS的公有云DNS名字,一旦创建了这个特殊名字,此名字的租户之间隔离被打破了!


企业A的员工带着windows电脑离开了企业网络,回到家连上wifi。当他开始像平常一样上网、办公的时候,windows电脑开始要执行动态更新的操作,这个指令通过此时的外部DNS”最终发给了AWS


AWS作为公有云服务,肯定无法完成此指令的正常交互。于是,windows按照自己的机制查询了example.comSOAprimary DNS ns-1161.awsdns-61.co.uk. A记录,拿到了1.3.3.7这个地址,最终向这个地址发出动态更新数据于是,恶意人员轻松获取到企业A员工发来的信息,甚至生成了员工办公地点的地图画像!



此漏洞带给我们的思考

DNS从诞生至今已经有数十年历史,如今它是支撑大数据、云计算、人工智能等新技术快速发展的基础设施。面对环境的变化,如果我们还是继续使用或者按照传统的、专门为受信内部企业所构建的DNS软件、DNS场景、DNS架构作为企业甚至国家的域名管理系统,会暴露出来更多漏洞。


针对上述案例中的企业,我们建议企业在使用域名、设计DNS系统时:

1)域名的规划要做顶层设计,例如将域名进行拆分,规范哪些域名是内部的、哪些域名是外部的,从而避免类似问题的发生。

2)域名的管理要从由点到面平面化管理,走向多平面,立体式的域名管理,做好分层管理,要通过系统化的技术实现全网域名管控。

3DNS系统架构和软件要与企业的信息化建设升级同步演进,内网-外网、云上-云下,不同场景中DNS系统的设计和软件实现要有整体的解决方案。


目前了解到AWSGoogle已经及时修复了这个问题,ZDNS公有云解析服务平台不存在此问题同时通过ZDNS专业的DNS安全在线检测工具check.zdns.cn我们发现目前国内企业DNS系统还存在很多隐患例如下面两个企业的检测结果:


该企业域名存在"父子域"不一致问题,即顶级域com认为他有3DNS,且名字是ns11-ns13,而企业的DNS系统上配置的名字却出现ns4ns5。在这个场景下,如果ns4ns5出现问题,则马上会导致拒绝服务。而即使不出问题,因为这种不合规配置,导致部分LocalDNS触发了逻辑判断问题,进而可能部分地区出现解析延时大,或者解析异常。




该企业实际是做了一个DNS集群,表面看是能支撑大流量的查询,但它对外只用一个NS名称和一个IP服务,这极其容易被攻击者利用达到缓存投毒的目的。因为,攻击者只需要模拟一个源IP来代替该企业DNS应答解析结果,实现对LocalDNS的缓存投毒。一旦投毒成功,将给企业带来巨大损失。


从中我们不难看出,DNS的建设是一个系统工程,DNS的安全防护涉及诸多维度。面对频繁发生的DNS安全漏洞,企业务必要提高重视程度,及时检测发现,填补漏洞,避免造成更大的损失。


_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________
联系我们
产品方案咨询
7*24小时热线:400-6688-876
——————————