在不久前召开的美国黑帽安全大会上,云安全公司Wiz的研究人员披露了一项影响托管DNS服务商的新问题。利用这个bug,攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络。
该问题影响到了亚马逊、谷歌等DNS托管服务的广大企业客户。该漏洞一旦被利用,可能会给企业甚至国家带来巨大的安全风险,正如Wiz.io研究人员所描述:“这个新的DNS漏洞使国家级别的窃密活动像注册域名一样简单!”
漏洞原理
很多企业为了减轻DNS服务器的管理负担,或者为了更好的安全保障,常常会选择购买AWS Route53、Google Cloud Platform等托管服务。
但是,这些DNS服务供应商并没有将自己的DNS服务器列入黑名单,这样导致的结果是攻击者可以将DNS服务商的名称服务器添加到后端,并将其指向内部网络,从而借此劫持DNS流量。
如此一来,Wiz团队就能顺利劫持被发送至托管DNS服务商服务器处的DNS流量。但从实际测试来看,Wiz团队并没有收到经由该服务器的所有DNS流量,只是收到了大量动态DNS更新。动态DNS更新是指工作站在内部网络中的IP地址或其他详细信息发生变化时发送到 DNS 服务器的特殊 DNS 消息。这些数据包括了每个系统内部和外部的IP地址以及计算机名称。通过这些动态DNS更新数据已经足以绘制使用同一托管DNS服务器的其他企业的内网结构图。
漏洞影响
研究人员目前还尚未发现该DNS漏洞之前被利用的证据。但是该漏洞的影响非常大。研究人员在分析的6个主要的DNSaaS提供商中发现3个受到域名服务器注册的影响。此外,所有提供DNSaaS的云服务提供商、域名注册商、网站主机都可能受到该漏洞的影响。
在进行测试的14个小时当中,Wiz团队成功从15000多个组织处收集到动态DNS更新,其中涉及130多家政府机构与不少财富五百强企业。这部分泄露数据包括各系统的内部与外部IP地址、计算机名称,在某些极端情况下甚至涉及员工姓名。
漏洞补丁更新
研究人员表示发现三家DNS即服务提供商易受该漏洞影响,其中两家是亚马逊和谷歌,它们已推出更新,而第三家正在着手推出补丁。亚马逊和谷歌的发言人指出已修复这个漏洞,目前已在后端阻止自己的域名注册。另外,研究人员认为有十几家DNS即服务提供商也很可能易受类似攻击影响。微软建议企业按照《和启用Windows Server DNS 安全更新有关的指南》和《与网络安全最佳实践相关的其它信息》两个指南(可在微软官方文档中找到)阻止DNS动态更新暴露到互联网上。
对DNS的防护
DNS从诞生至今已经有数十年历史,是互联网最重要的基础服务之一,它承担着将域名指向可由计算机识别的IP地址的重要作用,因此DNS的安全是保障网络安全畅通的核心和基础。
但正因为DNS如此重要的作用,其一旦出现漏洞或遭受攻击,必然会对网络的正常访问和使用造成严重影响,给政府和企业带来巨大的损失。
传统的DNS一般只部署一个解析节点,防护能力和解析性能较弱,如果用户访问量过大或者遭受恶意的ddos攻击,很容易导致线路拥堵、服务器的宕机,造成严重影响。
中科三方智能云解析系统,在全球部署多个解析服务节点,具备智能线路选择、智能区域划分、负载均衡、宕机切换等特点,可有效分摊大流量访问和攻击,确保解析线路畅通和稳定;同时中科三方云解析系统采用高防DNS,可提供更高的防护流量,承受更大规模的ddos攻击和QPS查询,免遭DNS漏洞和DNS攻击的影响,有效保护用户的域名及网络安全。
因此,对于政府部门、金融、科研、大型企业这样的重要领域重要客户而言,选择防护及解析性能更为强大的云解析服务,是应对DNS漏洞和攻击,保障解析稳定、网络安全的有效选择和途径。
与此同时,我们也应该清晰地认识到DNS的建设是一个系统工程,DNS的安全防护涉及诸多维度。面对频繁发生的DNS安全漏洞,政府和企业必须提高重视程度,及时检测发现,及时填补漏洞,避免造成更大的损失。
原文链接:https://blog.csdn.net/weixin_53018687/article/details/119636080?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169114665816800227463769%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=169114665816800227463769&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-10-119636080-null-null.268%5Ev1%5Ekoosearch&utm_term=dns%E9%98%B2%E6%8A%A4
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21874