Amazon與Google修補(bǔ)其DNS服務(wù)平臺(tái)的漏洞

云計(jì)算安全企業(yè)Wiz在本周舉行的黑帽大會(huì)上，披露了一個(gè)有關(guān)DNS的安全漏洞，使用新穎的手法來(lái)挾持DNS服務(wù)供應(yīng)商的節(jié)點(diǎn)，以竊聽(tīng)DNS流量，進(jìn)而描繪出連接DNS服務(wù)的組織內(nèi)部網(wǎng)絡(luò)架構(gòu)。盡管該漏洞被Wiz視為屬于“國(guó)際水域”，也即是個(gè)三不管地帶，但包括Amazon及Google都先行著手修補(bǔ)了相關(guān)漏洞。

圖片來(lái)源_黑帽大會(huì)

Wiz說(shuō)明，DNS托管服務(wù)是個(gè)自助式的平臺(tái)，允許客戶更新其域名名稱及其所指向的名稱服務(wù)器，客戶得以添加任何想要的域名名稱，而且不會(huì)驗(yàn)證域名名稱的所有人。此次Wiz團(tuán)隊(duì)則在擁有2,000個(gè)DNS服務(wù)器的Amazon Route53上進(jìn)行測(cè)試，于Route53上注冊(cè)了一個(gè)與其官方DNS服務(wù)器同名的名稱服務(wù)器，準(zhǔn)確地說(shuō)，是在AWS的名稱服務(wù)器上創(chuàng)建一個(gè)新的托管區(qū)域，并以AWS的DNS服務(wù)器命名。

這使得Wiz取得了該托管區(qū)域的部分控制權(quán)，并將它指向Wiz自家的IP地址。于是，只要DNS客戶向該名稱服務(wù)器進(jìn)行查詢，相關(guān)的流量便會(huì)直接跳轉(zhuǎn)至Wiz。

之后Wiz即開(kāi)始接收到來(lái)自全球超過(guò)100萬(wàn)個(gè)獨(dú)立終端的大量查詢流量，這些流量來(lái)自全球1.5萬(wàn)個(gè)組織，涉及Fortune 500企業(yè)與上百個(gè)政府機(jī)構(gòu)，除了發(fā)現(xiàn)它們是來(lái)自于Windows機(jī)器的動(dòng)態(tài)DNS流量之外，流量也透露出這些組織的內(nèi)／外IP地址、計(jì)算機(jī)名稱、員工名稱，以及辦公室位置。

Wiz的研究主管Shir Tamari表示，借由分析這些流量，他們得以取得一家全球最大服務(wù)企業(yè)的全球員工與辦公室位置，還發(fā)現(xiàn)有些企業(yè)在伊朗及緬甸設(shè)有辦公室，違反了美國(guó)外國(guó)資產(chǎn)控制辦公室（Office of Foreign Assets Control，OFAC）的規(guī)定。

該漏洞現(xiàn)身的原因之一是Windows所提供的動(dòng)態(tài)DNS設(shè)置，讓W(xué)indows設(shè)備得以自動(dòng)更新變更IP地址的DNS服務(wù)器，只是當(dāng)Wiz向微軟通報(bào)時(shí)，微軟卻說(shuō)這并不是一個(gè)安全漏洞，而是客戶在部署外部DNS解析器的配置錯(cuò)誤。

不過(guò)，包括Amazon Route53與Google Cloud DNS都已修補(bǔ)了該問(wèn)題，只是其它DNS平臺(tái)仍舊處于該風(fēng)險(xiǎn)中。

Wiz則建議各大組織應(yīng)該要妥善地配置其DNS解析器，以避免動(dòng)態(tài)DNS更新泄露其內(nèi)部網(wǎng)絡(luò)狀態(tài)。