Nuevo ataque de secuestro del servidor de nombres DNS expone …



Los investigadores encontraron una clase «novedosa» de vulnerabilidades de DNS en AWS Route53 y otras ofertas de DNS como servicio que filtran información confidencial sobre clientes corporativos y gubernamentales, con un basic paso de registro.

Los investigadores de seguridad en la nube de Wiz.io estaban hurgando en el Servicio de nombres de dominio (DNS) Route53 de Amazon World wide web Expert services a principios de este año cuando de repente se dieron cuenta de que su sistema de registro de dominio de autoservicio les permitía configurar una nueva zona alojada con el mismo nombre que el servidor de nombres de AWS true que estaba utilizando. En cuestión de segundos, vieron conmocionados cómo su servidor de nombres falso se inundó con consultas de DNS de las redes de otros clientes de AWS: direcciones IP externas e internas, nombres de computadoras para finanzas, recursos humanos, servidores de producción y nombres de organizaciones.

En overall, obtuvieron tráfico de más de 15.000 clientes de AWS diferentes y un millón de dispositivos de punto closing, todo después de registrar un servidor de nombres de AWS falso como ns-852.awsdns-42.net, el mismo nombre que un servidor de nombres de AWS true.

«Estábamos tratando de averiguar cómo romper el DNS y no teníamos concept de qué tráfico recibíamos», dice Ami Luttwak, cofundador y director de tecnología de Wiz.io, así como ex miembro del equipo de seguridad en la nube de Microsoft. «En teoría, si registra un nombre de servidor de nombres … no debería tener ningún impacto».

Los servicios DNS como AWS Route53 permiten a los clientes actualizar su nombre de dominio y el servidor de nombres al que apuntan sus dominios para las consultas de DNS. Los investigadores dicen que acaban de crear una nueva zona alojada dentro ns-852.awsdns-42.internet with el mismo apodo y lo apuntó a su dirección IP. Luego, recibieron consultas de DNS de los dispositivos de los clientes de Route53 a su servidor deshonesto y del mismo nombre.

Los investigadores pudieron utilizar ese tráfico para recopilar un tesoro de información sobre las empresas Fortune 500, incluida una empresa de comercio de productos básicos, 45 agencias gubernamentales de EE. UU. Y 85 agencias gubernamentales en el extranjero. A partir de esos datos de tráfico, obtuvieron detalles como las ubicaciones físicas de las oficinas y los empleados en algunas de las organizaciones. «Entendimos entonces que estábamos en la cima de un increíble conjunto de inteligencia, simplemente haciendo tapping durante unas horas en una pequeña porción de la purple», dice Luttwak. «Lo llamé una capacidad de inteligencia de estado-nación utilizando un easy registro de dominio».

Los investigadores pudieron, por ejemplo, utilizar los datos de consulta de DNS para profundizar en las ubicaciones de las oficinas y el número de empleados en la empresa comercial, así como en el de una gran subsidiaria de una cooperativa de ahorro y crédito con una sucursal en Irán y otras organizaciones.

AWS solucionó el problema a mediados de febrero, poco después de que los investigadores lo alertaran en enero, pero al menos otros dos proveedores con los que los investigadores contactaron sobre la falla aún no lo han solucionado en sus servicios de DNS. Un portavoz de AWS no proporcionó ningún detalle, pero confirmó que Route53 «no se ve afectado por este problema» y agregó que el servicio «impide la creación de zonas hospedadas para los nombres DNS asociados a los servidores de nombres de Route53».

Todo lo que se necesitó para cerrar la vulnerabilidad en AWS Route53 fue colocar el nombre del servidor de nombres oficial de AWS en una lista de «ignorados», explica Shir Tamari, jefe del equipo de investigación de seguridad de Wiz.io. «El problema period que cualquiera podía registrar los servidores de nombres oficiales en la plataforma, por lo que pusieron la lista de sus servidores de nombres en una lista de &#39ignorados&#39 para que» los atacantes no pudieran registrarlos más «.

«Fue una solución muy rápida y eficiente», agrega Tamari.

Otros dos proveedores de DNS como servicio albergan la vulnerabilidad, según los investigadores, que los alertaron pero no revelaron los nombres de los proveedores ya que aún no se ha solucionado. Luttwak y Tamari presentarán sus hallazgos en agosto en Black Hat United states en Las Vegas

«O.G.» DNS cumple con DNSaaS
El ataque aprovecha un área gris en la infraestructura de DNS: una consecuencia no intencionada e inesperada de la combinación de la tecnología DNS tradicional de la vieja escuela en algunas máquinas con Windows y las características actuales del servicio DNS en la nube. El computer software de cliente DNS tradicional es antiguo, algunos de los cuales se escribieron hace 20 años, y no se diseñaron para infraestructuras empresariales basadas en la nube, sino para dominios empresariales internos de confianza.

Los puntos finales revelan información confidencial cuando consultan el servidor DNS, dicen los investigadores, y gran parte de esto es el resultado de la complejidad del propio DNS. «Los clientes de DNS realizan consultas no estándar y los proveedores de DNS permiten a los clientes ingresar sus propias zonas de DNS en su servidor», lo que crea una combinación arriesgada, dice Luttwak. Los clientes revelan detalles a través de sus actualizaciones de DNS dinámico que estarían bien en un entorno de infraestructura de DNS interno, pero cuando operan dentro de un servicio de DNS basado en la nube, podrían filtrarse a otros clientes de ese proveedor de servicios.

«Entonces, cuando un punto final que trabaja desde casa … ya no united states of america un solucionador de DNS (interno) y accede a la purple desde su servidor DNS», actualiza el servidor de nombres deshonesto de los investigadores en lugar del propio, explica. «Es una combinación del nuevo mundo en el que puede realizar el registro de dominios compartidos, y en todos los algoritmos instalados en Windows hace 20 años, esa lógica (uso) creada para cuando no había problemas de Web, eso no fue para servidores DNS compartidos. Por lo tanto, los puntos finales registran sus ubicaciones con los «servidores de nombres basados ​​en la nube», dice.

También está el factor IPv6: los investigadores encontraron que algunos dispositivos que usaban la versión más nueva del Protocolo de Web (IP) estaban expuestos y, por lo tanto, eran accesibles para un atacante. «De los millones de puntos finales que nos enviaron datos de DNS dinámico, notamos que los puntos finales internos IPv6 son accesibles», señala Tamari. Por esa razón, los usuarios que trabajan desde casa o fuera de la oficina y utilizan IPv6 corren el riesgo de exponer sus dispositivos a Internet.

Tamari dice que los investigadores encontraron que alrededor del 6% de los dispositivos IPv6 están expuestos a través de HTTP, RDP (Protocolo de escritorio remoto) y SMB, por ejemplo.

Los investigadores dicen que no pueden confirmar si algún atacante ha empleado esta debilidad en el DNS, pero están haciendo sonar la alarma de que también podría existir en los servicios de otros proveedores de DNS. «Es importante para todos los proveedores de DNS» asegurarse de que no dejan a sus clientes expuestos a través de esta configuración de DNS vulnerable, dice Luttwak.

Vuln es diferente de otras fallas que el equipo de investigación ha visto en los servicios en la nube. No es un error de program clásico: «Los flujos lógicos conducen a resultados inesperados», dice. «Son difíciles de encontrar, estos nuevos tipos de vulnerabilidades. Está en la lógica de cómo se construye el servicio (DNS)».

Los proveedores de DNS deben utilizar las especificaciones de DNS RFC para nombres de dominio reservados, validar dominios y verificar la propiedad de los dominios, señalan los investigadores.

Defendiendo su DNS
Las organizaciones también tienen opciones para proteger su tráfico de DNS del secuestro de DNS: «Hay cosas específicas que las organizaciones pueden hacer para asegurarse de que DynamicDNS no vaya a un servidor malicioso», dice Tamari, como firewalls y herramientas que monitorean el tráfico de DNS hacia y desde los puntos finales.

Kelly Jackson Higgins es la editora ejecutiva de Dark Examining. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Safe Organization … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first