Разделы

Безопасность Бизнес Техника

Amazon и Google спешно латают 10-летнюю брешь в своих DNS-платформах. Microsoft спокоен

Серьезная уязвимость в архитектуре DNS-провайдеров была раскрыта на Black Hat Security. Баг позволяет перехватывать часть входящего DNS-трафика.

Amazon, Google и другие

На конференции Black Hat Security была раскрыта серьезная уязвимость, затрагивающая крупнейших DNS-провайдеров. Эта уязвимость позволяет захватывать контроль над узлами платформы, перехватывать часть входящего DNS-трафика и собирать подробные данные о внутренних сетях клиентов DNS-провайдеров.

Amazon и Google уже вносят изменения в свои DNS-платформы, но проблема затрагивает далеко не только их. DNS-провайдеры предоставляют серверы DNS в аренду корпоративным клиентам, которые не хотят расходовать силы и средства на развертывание и поддержку собственных DNS-ресурсов.

Как выяснили эксперты компании Wiz Шир Тамари (Shir Tamari) и Ами Луттвак (Ami Luttwak), уязвимость позволяет «перехватывать общемировой динамический DNS-трафик, проходящий через таких провайдеров как Amazon и Google».

Эксплуатация уязвимости выглядит достаточно просто: исследователи зарегистрировали домен и использовали его для захвата контроля над сервером имен провайдера — AmazonRoute 53, что позволило им просматривать динамический DNS-трафик, исходящий из сетей клиентов Route 53.

antihakery600.jpg
Уязвимость в системах DNS-провайдеров открывает широкие шпионские возможности

«AWS Route 53 содержит около 2 тыс. DNS-серверов, которые используются совместно всеми их пользователями. Мы зарегистрировали новый домен на платформе Route53 с тем же названием, что и официальный DNS-сервер (с технической точки зрения, мы создали новую “хост-зону” внутри сервера имен AWSns-1611.awsdns-09.co.uk и назвали ее ns-852.awsdns-42.net), — пишут исследователи. — При каждом добавлении домена к Route53, выделяются четыре разных DNS-сервера для управления доменом. Мы удостоверились, что сервер имен, который мы зарегистрировали на платформе, находится под управлением того же сервера. По сути, мы повторили этот процесс примерно на 2 тыс. серверах имен только на AWS... Теперь мы частично контролировали зону хостов и могли перенаправить ее на свой IP-адрес. Каждый раз, когда DNS-клиент опрашивает этот сервер имен... трафик направляется на наш IP-адрес».

Эксперты уточнили, что запросы к серверу имен направляются тысячами устройств, которым требуется обновление их IP-адресов внутри сети.

«Трафик, который мы “прослушивали”, поступал от 15 тыс. организаций, в том числе компаний из списка Fortune 500, 45 правительственных организаций в США и 85 международных правительственных организаций», — заявили исследователи.

По их словам, они видели самые разные данные — от простых названий рабочих компьютеров и имен их пользователей до весьма чувствительной информации об инфраструктуре организаций, в том числе сетевых устройствах, открытых для доступа извне.

В одном случае эксперты смогли составить подробную карту офисов одной из крупнейших сервисных компаний, используя трафик, исходящий от 40 тыс. конечных точек (рабочих станций, серверов и т. д.) компании.

Шпионские возможности национального государства

Подобные сведения могут заметно облегчить потенциальным киберзлоумышленникам задачу по компрометации чужой инфраструктуры. Как выразились эксперты, уязвимость предоставляет злоумышленникам «шпионские возможности уровня национального государства».

Как незрячие тестировщики помогают делать портал mos.ru удобным
ИТ в госсекторе

По данным Тамари и Луттвака, из шести крупнейших DNSaaS-провайдеров, которых они изучили, три оказались уязвимы. Информации о том, что этой уязвимостью кто-то уже воспользовался, нет, но при должном уровне подготовки и знании об этой уязвимости потенциальные злоумышленники могли бы более десятка лет шпионить за множеством компаний, оставаясь совершенно незамеченными.

В то время как Amazon и Google уже приняли меры к нейтрализации проблемы, в Microsoft, например, заявили, что речь идет не об уязвимости, а об «известной проблеме» с неправильными настройками, которая случается, когда организация работает с внешними DNS-преобразователями. В Microsoft рекомендуют использовать разные имена и зоны DNS для внутренних и внешних хостов, чтобы избежать конфликтов в DNS и проблем с сетями.

Поставщики управляемых DNS-услуг могут решить проблему, следуя рекомендациям по резервированию имен RFC, а также проверяя принадлежность и доступность доменов до того как разрешать регистрировать их своим пользователям.

Компаниям, которые берут серверы DNS в аренду, рекомендовано перенастроить запись Start-of-Authority так, чтобы внутренний трафик не мог утекать через динамические обновления DNS.

Вадим Глущенко, Центр глобальной ИТ-кооперации: Делаем акцент на восточном направлении
Цифровизация

«Речь идет об архитектурной особенности, которая может эксплуатироваться как уязвимость, но которую до сих пор едва ли воспринимали в таком качестве, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Теперь неочевидное становится очевидным, и DNS-провайдерам, как и их клиентам, сейчас будет необходимо срочно перенастраивать соответствующие системы, чтобы избежать сценария, описываемого Тамари и Луттваком.

Роман Георгиев