在不久前召开的美国黑帽安全大会上,云安全公司Wiz的研究人员披露了一项影响托管DNS服务商的新问题。利用这个bug,攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络。
该问题影响到了亚马逊、谷歌等DNS托管服务的广大企业客户。该漏洞一旦被利用,可能会给企业甚至国家带来巨大的安全风险,正如Wiz.io研究人员所描述:“这个新的DNS漏洞使国家级别的窃密活动像注册域名一样简单!”
漏洞原理
很多企业为了减轻DNS服务器的管理负担,或者为了更好的安全保障,常常会选择购买AWS Route53、Google Cloud Platform等托管服务。
但是,这些DNS服务供应商并没有将自己的DNS服务器列入黑名单,这样导致的结果是攻击者可以将DNS服务商的名称服务器添加到后端,并将其指向内部网络,从而借此劫持DNS流量。
如此一来,Wiz团队就能顺利劫持被发送至托管DNS服务商服务器处的DNS流量。但从实际测试来看,Wiz团队并没有收到经由该服务器的所有DNS流量,只是收到了大量动态DNS更新。动态DNS更新是指工作站在内部网络中的IP地址或其他详细信息发生变化时发送到 DNS 服务器的特殊 DNS 消息。这些数据包括了每个系统内部和外部的IP地址以及计算机名称。通过这些动态DNS更新数据已经足以绘制使用同一托管DNS服务器的其他企业的内网结构图。
漏洞影响
研究人员目前还尚未发现该DNS漏洞之前被利用的证据。但是该漏洞的影响非常大。研究人员在分析的6个主要的DNSaaS提供商中发现3个受到域名服务器注册的影响。此外,所有提供DNSaaS的云服务提供商、域名注册商、网站主机都可能受到该漏洞的影响。
在进行测试的14个小时当中,Wiz团队成功从15000多个组织处收集到动态DNS更新,其中涉及130多家政府机构与不少财富五百强企业。这部分泄露数据包括各系统的内部与外部IP地址、计算机名称,在某些极端情况下甚至涉及员工姓名。
这类数据有着广泛的用途,包括确定高价值企业的内部结构、识别域控制器,然后以远超传统随机发送垃圾邮件等高针对性精准方式向目标发起攻击。
漏洞补丁更新
研究人员表示发现三家DNS即服务提供商易受该漏洞影响,其中两家是亚马逊和谷歌,它们已推出更新,而第三家正在着手推出补丁。亚马逊和谷歌的发言人指出已修复这个漏洞,目前已在后端阻止自己的域名注册。另外,研究人员认为有十几家DNS即服务提供商也很可能易受类似攻击影响。微软建议企业按照《和启用Windows Server DNS 安全更新有关的指南》和《与网络安全最佳实践相关的其它信息》两个指南(可在微软官方文档中找到)阻止DNS动态更新暴露到互联网上。
对DNS的防护
DNS从诞生至今已经有数十年历史,是互联网最重要的基础服务之一,它承担着将域名指向可由计算机识别的IP地址的重要作用,因此DNS的安全是保障网络安全畅通的核心和基础。
但正因为DNS如此重要的作用,其一旦出现漏洞或遭受攻击,必然会对网络的正常访问和使用造成严重影响,给政府和企业带来巨大的损失。
传统的DNS一般只部署一个解析节点,防护能力和解析性能较弱,如果用户访问量过大或者遭受恶意的DDoS攻击,很容易导致线路拥堵、服务器的宕机,造成严重影响。
中科三方智能云解析系统,在全球部署多个解析服务节点,具备智能线路选择、智能区域划分、负载均衡、宕机切换等特点,可有效分摊大流量访问和攻击,确保解析线路畅通和稳定;同时中科三方云解析系统采用高防DNS,可提供更高的防护流量,承受更大规模的DDoS攻击和QPS查询,免遭DNS漏洞和DNS攻击的影响,有效保护用户的域名及网络安全。
因此,对于政府部门、金融、科研、大型企业这样的重要领域重要客户而言,选择防护及解析性能更为强大的云解析服务,是应对DNS漏洞和攻击,保障解析稳定、网络安全的有效选择和途径。
与此同时,我们也应该清晰地认识到DNS的建设是一个系统工程,DNS的安全防护涉及诸多维度。面对频繁发生的DNS安全漏洞,政府和企业必须提高重视程度,及时检测发现,及时填补漏洞,避免造成更大的损失。
相关推荐: