一種新的DNS破綻被發明
在最近的Black Hat大會上,Wizio的研討人員披露了他們從DNS托管辦事提供商(如:Amazon Route53、Google Cloud DNS)構建的辦事邏輯中,發明了一種新的DNS破綻類型。
該破綻一旦被應用,可能會給企業甚至國家帶來龐大安全危害,正如Wizio研討人員所繪出:這個新的DNS破綻使國家級其它竊密事件像注冊域名一樣簡樸!
以下是Wizio發行的破綻詳情繪出:
破綻的詳情
httpsizioblogblack-hat-2024-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain
破綻修復建議
httpsizioblogis-your-organization-leaking-sensitive-dynamic-dns-data-heres-ho-to-find-out
情景化復原破綻詳情
為了便于懂得,以下是互聯網域名體制國家工程研討中央(ZDNS)專業專家對本次izio披露的DNS破綻詳情進行的情景化復原:
企業A將個人的威望域example托管在能提供DNS即辦事的云辦事商AWS上,採用云辦事的優點閉口而喻,能為企業A提供環球分布式域名分析,提供更強的抗DDoS本事以及更敏捷的融合云解決計劃。
于是,企業A在AWS上注冊了賬號,并在AWS上創造了example威望區,在區中創造了如、mail等所有辦事域名。而作為一個尺度的DNS辦事,AWS會在企業A創造example威望區時為此威望區生成一條SOA紀實內容如下:
ns-1161asdns-61couk asdns-hostmasteramazon 1 7200 900 1209600 86400
SOA紀實的第一個部門典型的是example威望區的primary DNS辦事器的名稱。它實在在通知來訪者,example固然有多個DNS,但primary DNS(主DNS)是ns-1161asdns-61couk,而primary DNS腳色在傳統DNS配景中典型它可以承受DNS動態除舊指令。
企業A為了便捷,對內部IT利用辦事和企業內部終端的控制採用了域辦事。員工的indos電腦平時在企業網絡環境中採用的是域控提供的DNS辦事,當員工的電腦IP地址發作變動或者一些場合下,電腦會自動向企業當地的DNS倡議動態指令。
通過這個指令內容除了可以看到終端的IP地址外,假如請願的內容有條例的話,實在也能猜想出採用者的信息。比如zhangsan-pcsalesexample,這可能是企業A公司販售部-張三的終端。為了便捷控制,多數企業IT控制人員一定會讓這個內容加倍條例。
接下來,焦點顯露了:惡意人員也注冊了AWS賬號,并在AWS平臺上直接創造ns-1161asdns-61couk域,然后創造ns-1161asdns-61couk的A紀實對應個人私建的通博優惠一個用于挾制查詢的辦事器1337。
AWS作為云辦事提供商,平臺天生提供多租戶隔離本事,這樣的操縱外表看沒什麼疑問。但izio研討人員發明,ns-1161asdns-61couk因自身即是AWS的公有云DNS名字,一旦創造了這個不同凡響名字,此名字的租戶之距離離就被打破了!
企業A的員工帶著indos電腦離去了企業網絡,回到家連上ifi。當他開端像尋常一樣上網、辦公的時候,indos電腦開端要執舉動態除大贏家娛樂城舊的操縱,這個指令通過此時的外部DNS終極發給了AWS。
而AWS作為公有云辦事,肯定無法辦妥此指令的正常交互。于是,indos依照個人的機制查詢了example的SOA的primary DNS ns-1161asdns-61couk 的A紀實,拿到了1337這個地址,終極向這個地址發出動態除舊數據。于是,惡意人員輕松獲取到企業A員工發來的信息,甚至生成了員工辦公所在的地繪畫像!
此破綻帶給我們的思索
DNS從出生至今已經有數十年古史,如今它是支撐大數據、云算計、人工智能等新專業猛進的根基設施。面臨環境的變動,假金合發娛樂ptt如我們還是繼續採用或者依照傳統的、專門為受信內部企業所構建的DNS軟件、DNS配景、DNS條理作為企業甚至國家的域名控制體制,會曝光出來更多破綻。
針對上述案例中的企業,我們建議企業在採用域名、設計DNS體制時:
(1)域名的安排要做頂層設計,比如將域名進行拆分,規范哪些域名是內部的、哪些域名是外部的,從而避免相似疑問的發作。
(2)域名的控制要從由點到面的平面化控制,走向多平面,立體式的域名控制,做好分層控制,要通過體制化的專業實現全網域名管控。
(3)DNS體制條理和軟件要與企業的信息化建設升級同步演進,內網-外網、云上-云下,差異配景中DNS體制的設計和軟件實現要有整體的解決計劃。
目前了解到AWS和Google已經及時修復了這個疑問,ZDNS公有云分析辦事平臺并不存在此疑問。同時,通過ZDNS技術的DNS安全在線檢測器具checkzdnscn,我們發明目前內地企業DNS體制還存在許多隱患,比如下面兩個企業的檢測結局:
該企業域名存在”父子域”不一致疑問,即最高級域以為他有3個DNS,且名字是ns11-ns13,而企業的DNS體制上部署的名字卻顯露ns4和ns5。在這個配景下,假如ns4和ns5顯露疑問,則立刻會導致謝絕辦事。而縱然不出疑問,由於這種不合規部署,導致部門LocalDNS引發了邏輯判斷疑問,進而可能部門地域顯露分析延時大,或者分析反常。
該企業實質是做了一個DNS集群,外表看是能支撐大流量的查詢,但它對外只用一個NS名稱和一個IP辦事,這極其輕易被進攻者應用到達緩存投毒的目標。由於,進攻者只需求模仿一個源IP來取代該企業DNS應答分析結局,實現對LocalDNS的緩存投毒。一旦投毒勝利,將給企業帶來龐大虧本。
從中我們不丟臉出,DNS的建設是一個體制工程,DNS的安全防護涉及諸多維度。面臨頻繁發作的DNS安全破綻,企業務必須提高珍視水平,及時檢測發明,彌縫破綻,避免造成更大的虧本。
原文鏈接:httpsbaijiahaobaus?=1707578163818893132fr=sperfor=pc
