标准产品系列数据中心产品系列专业级产品系列安全产品系列标准产品系列标准产品系列标准产品系列标准产品系列产品型号及规格图高可靠专用硬件网络核心设备分布式权威解析递归缓存解析DNS安全防护注册配置工作流智能解析 ( DNS )可视化地址管理高可靠 DHCP SERVER网络动态感知地址实名审计自动化地址管理 ( DHCP/IPAM )海量弹性数据报表业务导向报表运营大数据分析 ( AM )综合管理平台私有云虚拟化云管理和虚拟化ZDNS SafeguardDNS 云解析动态流量调度CDN BalanceDNS 云容灾ZDNS Cloud域名管家新版-.brand 品牌顶级域名注册局安全锁TMCHSSLDPMLAdultBlockTLD注册局业务监测云注册商业务支撑云注册局业务支撑云注册局业务统计云DNE下载文件顶级域名云平台域名审核云企业域名资产管理云攻防演练解决方案性能优化-了解详情互联网安全混合云路由互联网行业解决方案本地化运营解决方案顶级域名解决方案大型企业解决方案教育行业解决方案广电行业解决方案新华社北京航空航天大学恒丰银行中国劳动关系学院华数传媒陕西师范大学泰康人寿中国石油信创产品中国民生银行大型企业金融行业解决方案广电解决方案教育行业解决方案政府行业解决方案大型企业解决方案服务保障培训认证在线学院已是合作伙伴售后工程师认证政策申请认证培训申请认证考试证书查询合作伙伴培训与认证解决方案技术资料ZDNS云学堂资源中心合作伙伴渠道政策前沿技术顶级域名手册行业研究行业标准100+专利软著招贤纳士联系我们news图片链接ZDNS客户psirt法律声明
新闻详情

新DNS安全漏洞使国家级别的窃密如探囊取物,ZDNS专家分析解读

2525
发表时间:2021-08-09 09:33



一种新的DNS漏洞被发现

在近期的Black Hat大会上,Wiz.io的研究人员披露了他们从DNS托管服务提供商(如:Amazon Route53Google Cloud DNS构建的服务逻辑中,发现了一种新的DNS漏洞类型。


该漏洞一旦被利用,可能会给企业甚至国家带来巨大安全风险,正如Wiz.io研究人员所描述这个新的DNS漏洞使国家级别的窃密活动像注册域名一样简单


以下是Wiz.io发布的漏洞详情描述:

漏洞的详情

https://www.wiz.io/blog/black-hat-2021-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain

漏洞修复建议

https://www.wiz.io/blog/is-your-organization-leaking-sensitive-dynamic-dns-data-heres-how-to-find-out


情景化复原漏洞详情

为了便于理解,以下是互联网域名系统国家工程研究中心(ZDNS)技术专家对本次wiz.io披露的DNS漏洞详情进行的情景化复原


企业A将自己的权威域example.com托管在能提供DNS即服务云服务商AWS上,使用云服务的好处不言而喻,能为企业A提供全球分布式域名解析,提供更强的抗DDoS能力以及更灵活的混合云解决方案。


于是,企业AAWS上注册了账号,并在AWS上创建了example.com权威区,在区中创建了如wwwmail等所有服务域名而作为一个标准的DNS服务AWS会在企业A创建example.com权威区时为此权威区生成一条SOA记录内容如下:

ns-1161.awsdns-61.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400


SOA记录的第一个部分代表的是example.com权威区的primary DNS服务器的名称。它其实在告诉来访者,example.com虽然有多个DNS,但primary DNS(主DNS)是ns-1161.awsdns-61.co.uk.,而primary DNS角色在传统DNS场景中代表它可以接受DNS动态更新指令。


企业A为了方便对内部IT应用服务和企业内部终端的管理使用了域服务。员工的windows电脑平时在企业网络环境中使用的是域控提供的DNS服务,当员工的电脑IP地址发生变化或者一些情况下,电脑会主动企业本地的DNS发起动态指令


通过这个指令内容除了可以看到终端的IP地址,如果请求的内容有规则的话,其实也能推测出使用者的信息。例如zhangsan-pc.sales.example.com,这可能是企业A公司销售部-张三的终端。为了方便管理,大多数企业IT管理人员一定会让这个内容更加规则


接下来,重点出现了恶意人员也注册了AWS账号,并在AWS平台上直接创建ns-1161.awsdns-61.co.uk.域,然后创建ns-1161.awsdns-61.co.uk.A记录对应自己私建的一个用于劫持查询的服务器1.3.3.7


AWS作为服务提供,平台天生提供多租户隔离能力,这样的操作表面看没什么问题。但wiz.io研究人员发现,ns-1161.awsdns-61.co.uk.因自身就是AWS的公有云DNS名字,一旦创建了这个特殊名字,此名字的租户之间隔离被打破了!


企业A的员工带着windows电脑离开了企业网络,回到家连上wifi。当他开始像平常一样上网、办公的时候,windows电脑开始要执行动态更新的操作,这个指令通过此时的外部DNS”最终发给了AWS


AWS作为公有云服务,肯定无法完成此指令的正常交互。于是,windows按照自己的机制查询了example.comSOAprimary DNS ns-1161.awsdns-61.co.uk. A记录,拿到了1.3.3.7这个地址,最终向这个地址发出动态更新数据于是,恶意人员轻松获取到企业A员工发来的信息,甚至生成了员工办公地点的地图画像!



此漏洞带给我们的思考

DNS从诞生至今已经有数十年历史,如今它是支撑大数据、云计算、人工智能等新技术快速发展的基础设施。面对环境的变化,如果我们还是继续使用或者按照传统的、专门为受信内部企业所构建的DNS软件、DNS场景、DNS架构作为企业甚至国家的域名管理系统,会暴露出来更多漏洞。


针对上述案例中的企业,我们建议企业在使用域名、设计DNS系统时:

1)域名的规划要做顶层设计,例如将域名进行拆分,规范哪些域名是内部的、哪些域名是外部的,从而避免类似问题的发生。

2)域名的管理要从由点到面平面化管理,走向多平面,立体式的域名管理,做好分层管理,要通过系统化的技术实现全网域名管控。

3DNS系统架构和软件要与企业的信息化建设升级同步演进,内网-外网、云上-云下,不同场景中DNS系统的设计和软件实现要有整体的解决方案。


目前了解到AWSGoogle已经及时修复了这个问题,ZDNS公有云解析服务平台不存在此问题同时通过ZDNS专业的DNS安全在线检测工具check.zdns.cn我们发现目前国内企业DNS系统还存在很多隐患例如下面两个企业的检测结果:


该企业域名存在"父子域"不一致问题,即顶级域com认为他有3DNS,且名字是ns11-ns13,而企业的DNS系统上配置的名字却出现ns4ns5。在这个场景下,如果ns4ns5出现问题,则马上会导致拒绝服务。而即使不出问题,因为这种不合规配置,导致部分LocalDNS触发了逻辑判断问题,进而可能部分地区出现解析延时大,或者解析异常。




该企业实际是做了一个DNS集群,表面看是能支撑大流量的查询,但它对外只用一个NS名称和一个IP服务,这极其容易被攻击者利用达到缓存投毒的目的。因为,攻击者只需要模拟一个源IP来代替该企业DNS应答解析结果,实现对LocalDNS的缓存投毒。一旦投毒成功,将给企业带来巨大损失。


从中我们不难看出,DNS的建设是一个系统工程,DNS的安全防护涉及诸多维度。面对频繁发生的DNS安全漏洞,企业务必要提高重视程度,及时检测发现,填补漏洞,避免造成更大的损失。


_______________
_______________
_______________
_______________
友情互联:
________________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________