新DNS安全漏洞使國家級別的竊密如探囊取物

一種新的DNS漏洞被發(fā)現(xiàn)

在近期的Black Hat大會上，Wiz.io的研究人員披露了他們從DNS托管服務(wù)提供商(如：Amazon Route53、Google Cloud DNS)構(gòu)建的服務(wù)邏輯中，發(fā)現(xiàn)了一種新的DNS漏洞類型。

該漏洞一旦被利用，可能會給企業(yè)甚至國家?guī)砭薮蟀踩L險，正如Wiz.io研究人員所描述：“這個新的DNS漏洞使國家級別的竊密活動像注冊域名一樣簡單!”

以下是Wiz.io發(fā)布的漏洞詳情描述：

●漏洞的詳情

●漏洞修復(fù)建議

情景化復(fù)原漏洞詳情

為了便于理解，以下是互聯(lián)網(wǎng)域名系統(tǒng)國家工程研究中心(ZDNS)技術(shù)專家對本次wiz.io披露的DNS漏洞詳情進行的“情景化”復(fù)原：

企業(yè)A將自己的權(quán)威域example.com托管在能提供DNS即服務(wù)的云服務(wù)商AWS上，使用云服務(wù)的好處不言而喻，能為企業(yè)A提供全球分布式域名解析，提供更強的抗DDoS能力以及更靈活的混合云解決方案。

于是，企業(yè)A在AWS上注冊了賬號，并在AWS上創(chuàng)建了example.com權(quán)威區(qū)，在區(qū)中創(chuàng)建了如www、mail等所有服務(wù)域名。而作為一個標準的DNS服務(wù)，AWS會在企業(yè)A創(chuàng)建example.com權(quán)威區(qū)時為此權(quán)威區(qū)生成一條SOA記錄內(nèi)容如下：

ns-1161.awsdns-61.co.uk. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

SOA記錄的第一個部分代表的是example.com權(quán)威區(qū)的primary DNS服務(wù)器的名稱。它其實在告訴來訪者，example.com雖然有多個DNS，但primary DNS(主DNS)是ns-1161.awsdns-61.co.uk.，而primary DNS角色在傳統(tǒng)DNS場景中代表它可以接受DNS動態(tài)更新指令。

企業(yè)A為了方便，對內(nèi)部IT應(yīng)用服務(wù)和企業(yè)內(nèi)部終端的管理使用了域服務(wù)。員工的windows電腦平時在企業(yè)網(wǎng)絡(luò)環(huán)境中使用的是域控提供的DNS服務(wù)，當員工的電腦IP地址發(fā)生變化或者一些情況下，電腦會主動向企業(yè)本地的DNS發(fā)起動態(tài)指令。

通過這個指令內(nèi)容除了可以看到終端的IP地址外，如果請求的內(nèi)容有規(guī)則的話，其實也能推測出使用者的信息。例如zhangsan-pc.sales.example.com，這可能是企業(yè)A公司銷售部-張三的終端。為了方便管理，大多數(shù)企業(yè)IT管理人員一定會讓這個內(nèi)容“更加規(guī)則”。

接下來，重點出現(xiàn)了：惡意人員也注冊了AWS賬號，并在AWS平臺上直接創(chuàng)建ns-1161.awsdns-61.co.uk.域，然后創(chuàng)建ns-1161.awsdns-61.co.uk.的A記錄對應(yīng)自己私建的一個用于劫持查詢的服務(wù)器1.3.3.7。

AWS作為云服務(wù)提供商，平臺天生提供“多租戶”隔離能力，這樣的操作表面看沒什么問題。但wiz.io研究人員發(fā)現(xiàn)，ns-1161.awsdns-61.co.uk.因自身就是AWS的公有云DNS名字，一旦創(chuàng)建了這個“特殊”名字，此名字的租戶之間隔離就被打破了!

企業(yè)A的員工帶著windows電腦離開了企業(yè)網(wǎng)絡(luò)，回到家連上wifi。當他開始像平常一樣上網(wǎng)、辦公的時候，windows電腦開始要執(zhí)行動態(tài)更新的操作，這個指令通過此時的“外部DNS”最終發(fā)給了AWS。

而AWS作為公有云服務(wù)，肯定無法完成此指令的正常交互。于是，windows按照自己的機制查詢了example.com的SOA的primary DNS ns-1161.awsdns-61.co.uk. 的A記錄，拿到了1.3.3.7這個地址，最終向這個地址發(fā)出動態(tài)更新數(shù)據(jù)。于是，惡意人員輕松獲取到企業(yè)A員工發(fā)來的信息，甚至生成了員工辦公地點的地圖畫像!

此漏洞帶給我們的思考

DNS從誕生至今已經(jīng)有數(shù)十年歷史，如今它是支撐大數(shù)據(jù)、云計算、人工智能等新技術(shù)快速發(fā)展的基礎(chǔ)設(shè)施。面對環(huán)境的變化，如果我們還是繼續(xù)使用或者按照傳統(tǒng)的、專門為受信內(nèi)部企業(yè)所構(gòu)建的DNS軟件、DNS場景、DNS架構(gòu)作為企業(yè)甚至國家的域名管理系統(tǒng)，會暴露出來更多漏洞。

針對上述案例中的企業(yè)，我們建議企業(yè)在使用域名、設(shè)計DNS系統(tǒng)時：

(1)域名的規(guī)劃要做頂層設(shè)計，例如將域名進行拆分，規(guī)范哪些域名是內(nèi)部的、哪些域名是外部的，從而避免類似問題的發(fā)生。

(2)域名的管理要從“由點到面”的“平面化”管理，走向“多平面，立體式”的域名管理，做好分層管理，要通過系統(tǒng)化的技術(shù)實現(xiàn)全網(wǎng)域名管控。

(3)DNS系統(tǒng)架構(gòu)和軟件要與企業(yè)的信息化建設(shè)升級同步演進，內(nèi)網(wǎng)-外網(wǎng)、云上-云下，不同場景中DNS系統(tǒng)的設(shè)計和軟件實現(xiàn)要有整體的解決方案。

目前了解到AWS和Google已經(jīng)及時修復(fù)了這個問題，ZDNS公有云解析服務(wù)平臺并不存在此問題。同時，通過ZDNS專業(yè)的DNS安全在線檢測工具check.zdns.cn，我們發(fā)現(xiàn)目前國內(nèi)企業(yè)DNS系統(tǒng)還存在很多隱患，例如下面兩個企業(yè)的檢測結(jié)果：

該企業(yè)域名存在"父子域"不一致問題，即頂級域com認為他有3個DNS，且名字是ns11-ns13，而企業(yè)的DNS系統(tǒng)上配置的名字卻出現(xiàn)ns4和ns5。在這個場景下，如果ns4和ns5出現(xiàn)問題，則馬上會導(dǎo)致拒絕服務(wù)。而即使不出問題，因為這種不合規(guī)配置，導(dǎo)致部分LocalDNS觸發(fā)了邏輯判斷問題，進而可能部分地區(qū)出現(xiàn)解析延時大，或者解析異常。

該企業(yè)實際是做了一個DNS集群，表面看是能支撐大流量的查詢，但它對外只用一個NS名稱和一個IP服務(wù)，這極其容易被攻擊者利用達到緩存投毒的目的。因為，攻擊者只需要模擬一個源IP來代替該企業(yè)DNS應(yīng)答解析結(jié)果，實現(xiàn)對LocalDNS的緩存投毒。一旦投毒成功，將給企業(yè)帶來巨大損失。

從中我們不難看出，DNS的建設(shè)是一個系統(tǒng)工程，DNS的安全防護涉及諸多維度。面對頻繁發(fā)生的DNS安全漏洞，企業(yè)務(wù)必要提高重視程度，及時檢測發(fā)現(xiàn)，填補漏洞，避免造成更大的損失。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）