Kerentanan DNS baru memungkinkan 'mata-mata tingkat negara-bangsa' pada perusahaan

 Peneliti keamanan menemukan kelas baru kerentanan DNS yang berdampak pada penyedia DNS-as-a-Service (DNSaaS) utama yang memungkinkan penyerang mengakses informasi sensitif dari jaringan perusahaan. Penyedia DNSaaS (juga dikenal sebagai penyedia DNS terkelola) menyediakan layanan penyewaan DNS ke organisasi lain yang tidak ingin mengelola dan mengamankan aset jaringan lain sendiri. Seperti yang diungkapkan pada konferensi keamanan Black Hat oleh peneliti perusahaan keamanan cloud Wiz Shir Tamari dan Ami Luttwak, kelemahan DNS ini memberi aktor ancaman kemampuan mengumpulkan intelijen negara-bangsa dengan pendaftaran domain sederhana.

 

Dari pendaftaran nama domain hingga lalu lintas penyadapan tanpa pandang bulu Proses eksploitasi cukup sederhana, seperti yang mereka jelaskan: mereka mendaftarkan domain dan menggunakannya untuk membajak server nama penyedia DNSaaS (dalam kasus mereka, Amazon Route 53) yang memungkinkan mereka untuk menyadap arus lalu lintas DNS dinamis dari jaringan pelanggan Route 53. "Kami menemukan celah sederhana yang memungkinkan kami untuk mencegat sebagian lalu lintas DNS dinamis di seluruh dunia melalui penyedia DNS terkelola seperti Amazon dan Google," kata peneliti Wiz. "Lalu lintas DNS dinamis yang kami 'sadap' berasal dari lebih dari 15.000 organisasi, termasuk perusahaan Fortune 500, 45 lembaga pemerintah AS, dan 85 lembaga pemerintah internasional." Data yang mereka ambil dengan cara ini berkisar dari nama dan lokasi karyawan/komputer hingga detail yang sangat sensitif terkait infrastruktur organisasi, termasuk perangkat jaringan yang terpapar Internet. Dalam satu kasus, para peneliti memetakan lokasi kantor salah satu perusahaan layanan terbesar di dunia menggunakan lalu lintas jaringan yang diterima dari 40.000 titik akhir perusahaan. 

 

 

 Informasi yang dikumpulkan dengan cara ini akan membuat pekerjaan aktor ancaman untuk menembus jaringan organisasi jauh lebih mudah karena akan memberi mereka "pandangan luas tentang apa yang terjadi di dalam perusahaan dan pemerintah" dan memberi mereka "kemampuan mata-mata tingkat negara-bangsa." Para peneliti belum menemukan bukti bahwa kerentanan DNS yang mereka temukan sebelumnya telah dieksploitasi di alam liar sebelumnya, tetapi, seperti yang mereka jelaskan, siapa pun yang memiliki pengetahuan tentang masalah ini dan keterampilan untuk menyalahgunakannya "dapat mengumpulkan data tanpa terdeteksi selama lebih dari satu dekade. " "Dampaknya sangat besar. Dari enam penyedia DNSaaS utama yang kami periksa, tiga rentan terhadap pendaftaran server nama," tambah mereka di Black Hat.

 

"Setiap penyedia cloud, pendaftar domain, dan host situs web yang menyediakan DNSaaS bisa jadi rentan." Diperbaiki oleh beberapa, kemungkinan mengganggu orang lain Apa yang membuat segalanya menjadi lebih buruk, sementara dua penyedia DNS utama (Google dan Amazon) telah memperbaiki kekurangan DNS ini, yang lain kemungkinan masih rentan, membuat jutaan perangkat terkena serangan. Selain itu, tidak jelas siapa yang harus memperbaiki bug DNS kritis ini. Microsoft, yang dapat mengubah algoritma DNS dinamis yang memungkinkan titik akhir Windows membocorkan lalu lintas jaringan internal ke server DNS berbahaya, telah memberi tahu Wiz bahwa ini bukan kerentanan. Seperti yang dijelaskan Microsoft, kelemahan ini adalah "kesalahan konfigurasi yang diketahui yang terjadi saat organisasi bekerja dengan resolver DNS eksternal." Redmond menyarankan untuk menggunakan nama dan zona DNS terpisah untuk host internal dan eksternal untuk menghindari konflik DNS dan masalah jaringan, dan memberikan dokumentasi terperinci tentang cara mengonfigurasi pembaruan dinamis DNS dengan benar di Windows. Penyedia DNS terkelola dapat memperbaiki masalah pembajakan server nama dengan mengikuti spesifikasi "nama yang dicadangkan" RFC dengan benar, serta memverifikasi kepemilikan dan memvalidasi domain sebelum mengizinkan pelanggan mereka untuk mendaftarkannya. Perusahaan yang menyewa server DNS juga dapat membuat perubahan untuk memblokir lalu lintas jaringan internal mereka agar tidak bocor melalui pembaruan DNS dinamis dengan memodifikasi catatan Start-of-Authority (SOA) default. Informasi tambahan dan detail teknis tersedia dalam laporan yang diterbitkan oleh Wiz pada hari Rabu, dan slide presentasi Black Hat tersedia di sini.