一種新的DNS漏洞被發(fā)現(xiàn)
在近期的Black Hat大會(huì)上,Wiz.io的研究人員披露了他們從DNS托管服務(wù)提供商(如:Amazon Route53、Google Cloud DNS)構(gòu)建的服務(wù)邏輯中,發(fā)現(xiàn)了一種新的DNS漏洞類型。
該漏洞一旦被利用,可能會(huì)給企業(yè)甚至國(guó)家?guī)砭薮蟀踩L(fēng)險(xiǎn),正如Wiz.io研究人員所描述:“這個(gè)新的DNS漏洞使國(guó)家級(jí)別的竊密活動(dòng)像注冊(cè)域名一樣簡(jiǎn)單!”
以下是Wiz.io發(fā)布的漏洞詳情描述:
●漏洞的詳情
●漏洞修復(fù)建議
情景化復(fù)原漏洞詳情
為了便于理解,以下是互聯(lián)網(wǎng)域名系統(tǒng)國(guó)家工程研究中心(ZDNS)技術(shù)專家對(duì)本次wiz.io披露的DNS漏洞詳情進(jìn)行的“情景化”復(fù)原:
企業(yè)A將自己的權(quán)威域example.com托管在能提供DNS即服務(wù)的云服務(wù)商AWS上,使用云服務(wù)的好處不言而喻,能為企業(yè)A提供全球分布式域名解析,提供更強(qiáng)的抗DDoS能力以及更靈活的混合云解決方案。
于是,企業(yè)A在AWS上注冊(cè)了賬號(hào),并在AWS上創(chuàng)建了example.com權(quán)威區(qū),在區(qū)中創(chuàng)建了如www、mail等所有服務(wù)域名。而作為一個(gè)標(biāo)準(zhǔn)的DNS服務(wù),AWS會(huì)在企業(yè)A創(chuàng)建example.com權(quán)威區(qū)時(shí)為此權(quán)威區(qū)生成一條SOA記錄內(nèi)容如下:
ns-1161.awsdns-61.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
SOA記錄的第一個(gè)部分代表的是example.com權(quán)威區(qū)的primary DNS服務(wù)器的名稱。它其實(shí)在告訴來訪者,example.com雖然有多個(gè)DNS,但primary DNS(主DNS)是ns-1161.awsdns-61.co.uk.,而primary DNS角色在傳統(tǒng)DNS場(chǎng)景中代表它可以接受DNS動(dòng)態(tài)更新指令。
企業(yè)A為了方便,對(duì)內(nèi)部IT應(yīng)用服務(wù)和企業(yè)內(nèi)部終端的管理使用了域服務(wù)。員工的windows電腦平時(shí)在企業(yè)網(wǎng)絡(luò)環(huán)境中使用的是域控提供的DNS服務(wù),當(dāng)員工的電腦IP地址發(fā)生變化或者一些情況下,電腦會(huì)主動(dòng)向企業(yè)本地的DNS發(fā)起動(dòng)態(tài)指令。
通過這個(gè)指令內(nèi)容除了可以看到終端的IP地址外,如果請(qǐng)求的內(nèi)容有規(guī)則的話,其實(shí)也能推測(cè)出使用者的信息。例如zhangsan-pc.sales.example.com,這可能是企業(yè)A公司銷售部-張三的終端。為了方便管理,大多數(shù)企業(yè)IT管理人員一定會(huì)讓這個(gè)內(nèi)容“更加規(guī)則”。
接下來,重點(diǎn)出現(xiàn)了:惡意人員也注冊(cè)了AWS賬號(hào),并在AWS平臺(tái)上直接創(chuàng)建ns-1161.awsdns-61.co.uk.域,然后創(chuàng)建ns-1161.awsdns-61.co.uk.的A記錄對(duì)應(yīng)自己私建的一個(gè)用于劫持查詢的服務(wù)器1.3.3.7。
AWS作為云服務(wù)提供商,平臺(tái)天生提供“多租戶”隔離能力,這樣的操作表面看沒什么問題。但wiz.io研究人員發(fā)現(xiàn),ns-1161.awsdns-61.co.uk.因自身就是AWS的公有云DNS名字,一旦創(chuàng)建了這個(gè)“特殊”名字,此名字的租戶之間隔離就被打破了!
企業(yè)A的員工帶著windows電腦離開了企業(yè)網(wǎng)絡(luò),回到家連上wifi。當(dāng)他開始像平常一樣上網(wǎng)、辦公的時(shí)候,windows電腦開始要執(zhí)行動(dòng)態(tài)更新的操作,這個(gè)指令通過此時(shí)的“外部DNS”最終發(fā)給了AWS。
而AWS作為公有云服務(wù),肯定無法完成此指令的正常交互。于是,windows按照自己的機(jī)制查詢了example.com的SOA的primary DNS ns-1161.awsdns-61.co.uk. 的A記錄,拿到了1.3.3.7這個(gè)地址,最終向這個(gè)地址發(fā)出動(dòng)態(tài)更新數(shù)據(jù)。于是,惡意人員輕松獲取到企業(yè)A員工發(fā)來的信息,甚至生成了員工辦公地點(diǎn)的地圖畫像!
此漏洞帶給我們的思考
DNS從誕生至今已經(jīng)有數(shù)十年歷史,如今它是支撐大數(shù)據(jù)、云計(jì)算、人工智能等新技術(shù)快速發(fā)展的基礎(chǔ)設(shè)施。面對(duì)環(huán)境的變化,如果我們還是繼續(xù)使用或者按照傳統(tǒng)的、專門為受信內(nèi)部企業(yè)所構(gòu)建的DNS軟件、DNS場(chǎng)景、DNS架構(gòu)作為企業(yè)甚至國(guó)家的域名管理系統(tǒng),會(huì)暴露出來更多漏洞。
針對(duì)上述案例中的企業(yè),我們建議企業(yè)在使用域名、設(shè)計(jì)DNS系統(tǒng)時(shí):
(1)域名的規(guī)劃要做頂層設(shè)計(jì),例如將域名進(jìn)行拆分,規(guī)范哪些域名是內(nèi)部的、哪些域名是外部的,從而避免類似問題的發(fā)生。
(2)域名的管理要從“由點(diǎn)到面”的“平面化”管理,走向“多平面,立體式”的域名管理,做好分層管理,要通過系統(tǒng)化的技術(shù)實(shí)現(xiàn)全網(wǎng)域名管控。
(3)DNS系統(tǒng)架構(gòu)和軟件要與企業(yè)的信息化建設(shè)升級(jí)同步演進(jìn),內(nèi)網(wǎng)-外網(wǎng)、云上-云下,不同場(chǎng)景中DNS系統(tǒng)的設(shè)計(jì)和軟件實(shí)現(xiàn)要有整體的解決方案。
目前了解到AWS和Google已經(jīng)及時(shí)修復(fù)了這個(gè)問題,ZDNS公有云解析服務(wù)平臺(tái)并不存在此問題。同時(shí),通過ZDNS專業(yè)的DNS安全在線檢測(cè)工具check.zdns.cn,我們發(fā)現(xiàn)目前國(guó)內(nèi)企業(yè)DNS系統(tǒng)還存在很多隱患,例如下面兩個(gè)企業(yè)的檢測(cè)結(jié)果:
該企業(yè)域名存在"父子域"不一致問題,即頂級(jí)域com認(rèn)為他有3個(gè)DNS,且名字是ns11-ns13,而企業(yè)的DNS系統(tǒng)上配置的名字卻出現(xiàn)ns4和ns5。在這個(gè)場(chǎng)景下,如果ns4和ns5出現(xiàn)問題,則馬上會(huì)導(dǎo)致拒絕服務(wù)。而即使不出問題,因?yàn)檫@種不合規(guī)配置,導(dǎo)致部分LocalDNS觸發(fā)了邏輯判斷問題,進(jìn)而可能部分地區(qū)出現(xiàn)解析延時(shí)大,或者解析異常。
該企業(yè)實(shí)際是做了一個(gè)DNS集群,表面看是能支撐大流量的查詢,但它對(duì)外只用一個(gè)NS名稱和一個(gè)IP服務(wù),這極其容易被攻擊者利用達(dá)到緩存投毒的目的。因?yàn)?,攻擊者只需要模擬一個(gè)源IP來代替該企業(yè)DNS應(yīng)答解析結(jié)果,實(shí)現(xiàn)對(duì)LocalDNS的緩存投毒。一旦投毒成功,將給企業(yè)帶來巨大損失。
從中我們不難看出,DNS的建設(shè)是一個(gè)系統(tǒng)工程,DNS的安全防護(hù)涉及諸多維度。面對(duì)頻繁發(fā)生的DNS安全漏洞,企業(yè)務(wù)必要提高重視程度,及時(shí)檢測(cè)發(fā)現(xiàn),填補(bǔ)漏洞,避免造成更大的損失。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )