網路安全企業Wiz的研究總監Shir Tamari與技術長Ami Luttwak參與2021年黑帽安全會議(Black Hat USA 2021)並發表演講,在演講中,他們詳述如何發現存在於Amazon Route53、Google雲端服務及其他DNS伺服器中的網路弱點,有心人士將可利用該弱點窺探其他客戶的動態DNS訊務。
Tamari於一篇部落格文章中指出,他們僅透過簡易的手法,便可利用弱點窺探全球500強企業及政府機構在內的15,000個組織,以及數百萬臺裝置的內網訊務。
Tamari在部落格中解釋,Amazon Web Service(AWS)的雲端DNS服務平臺Route 53,總共設有約2,000個伺服器供顧客使用。Route 53提供的是DNS託管服務,而非受理註冊機構提供的域名註冊服務。換句話說,Route 53只負責幫顧客保存DNS紀錄,使用者在Route 53帳戶中新增的域名,本質上與透過受理註冊機構「註冊」的域名大不相同,並不代表使用者實際上擁有這些域名,或成為這些域名的註冊人。也因此,Route 53並不會檢查使用者是否真正擁有他們在帳戶中新增的域名,因為這些域名並不會影響DNS訊務的實際傳輸。
Tamari等人發現的漏洞,是在Route 53的帳戶中新增與Route 53官方伺服器同名的域名,藉此在伺服器內建立一個新的託管區域。只要有人在Route 53新增域名,系統會隨機指定4個伺服器來管理此域名。Tamari等人於是在帳戶中新增了2,000多筆域名,並設定這些域名都由同名的伺服器管理。如此一來,他們得以取得託管區域的部分掌控權,並將訊務導向自己的IP位址。
以上設定完成後,接下來只要任何DNS客戶端向伺服器查詢自己的IP位址,這些查詢也都會跑到Tamari等人設定的IP位址。
透過這個實驗,Tamari與Luttwak發現許多敏感資料,包括電腦名稱、企業員工姓名、辦公地點及組織暴露的重要網路資訊。Tamari表示,目前Amazon及Google已關閉該弱點,但其他DNS伺服器供應商仍未處理。研究人員將弱點歸因於微軟在Windows系統中所使用的動態DNS(RFC 2136)演算法,但由於微軟並未將其視為弱點,因此不打算作任何修正。
相關連結:
Thomas Claburn (2021). All your DNS were belong to us: AWS and Google Cloud shut down spying vulnerability. The Register.
檢自:
https://www.theregister.com/2021/08/06/aws_google_dns/ (Aug. 13, 2021)
