جاسوسی ترافیک DNS از طریق باگ های موجود در خدمات DNS مدیریت ابری
اخبار داغ فناوری اطلاعات و امنیت شبکهمحققان امنیت سایبری سطح جدیدی از آسیب پذیری ها را افشا کردند ارائه دهندگان عمده DNS-as-a-Service (DNSaaS) را تحت تاثیر قرار داده است. این آسیب پذیری می تواند به مهاجمان اجازه دهد اطلاعات حساس را از شبکه های شرکتی استخراج نمایند.
شیر تماری و امی لوتواک از شرکت امنیت زیرساخت Wiz بیان داشتند: "ما یک loophole را پیدا کرده ایم که به ما اجازه می داد بخشی از ترافیک DNS فعال جهانی را که از طریق ترافیک شبکه ارائه دهندگان DNS مدیریت شده ای مانند آمازون و گوگل عبور می کند، رهگیری کنیم".
این گنجینه اطلاعاتی که آن را به اصطلاح "چاه بی انتهای اطلاعات با ارزش" نامگذاری کرده اند، شامل آدرس های IP داخلی و خارجی، نام رایانه، نام و مکان کارکنان و جزئیات مربوط به دامنه های وب سازمان ها است. این یافته ها هفته گذشته در کنفرانس امنیتی Black Hat USA 2021 ارائه شده است.
به نقل از هکر نیوز، محققان افزوده اند: "ترافیکی که از ترافیک شبکه داخلی به ما نشت کرده است تمام اطلاعات مورد نیاز عاملان مخرب برای حمله موفقیت آمیز را در اختیار آنها قرار می دهد. افزون بر آن، دسترسی به این اطلاعات میتواند به مهاجمان دید بسیار گسترده و عظیمی نسبت به آنچه در داخل شرکت ها و دولت ها اتفاق می افتد، ارائه دهد. ما این را به داشتن توانایی جاسوسی در سطح دولت-ملت تشبیه می کنیم که بدست آوردن آن به راحتی ثبت دامنه است".
فرایند بهره برداری بستگی به ثبت دامنه در سرویس DNS Route53 آمازون (یا Google Cloud DNS) با همان نام سرور DNS دارد (که ترجمه (با نام مستعار وضوح) نام دامنه ها و نام های میزبان را به آی پی آدرس (IP) مربوطه آنها ارائه می دهد)، منجر به سناریویی می شود که به طور موثری فضای ایزوله فی مابین را شکسته و باعث میشود که مهاجمان به اطلاعاتی ارزشمند دسترسی پیدا کنند.
به عبارت دیگر، ایجاد یک دامنه جدید در پلتفرم Route53 در سرور AWS با همان نام و آدرس دهی محل میزبان به شبکه داخلی آنها، باعث می شود ترافیک Dynamic DNS از اندپوینت کاربران Route53 ربوده شده و مستقیماً به آدرس سرور مخرب همنام ارسال شود. این روش، راهی آسان برای دید یافتن و اشراف بر شبکه های شرکت ها ایجاد می کند.
محققان همچنین گفتند: "ترافیک DNS فعال که ما شنود کردیم مشتمل بر بیش از 15000 سازمان شامل شرکت های 500 فورچون، 45 آژانس دولتی ایالات متحده و 85 آژانس دولتی بین المللی بوده است. این داده ها شامل اطلاعات ارزشمندی مانند آدرس IP داخلی و خارجی، نام رایانه، نام کارکنان و موقعیت های اداری بوده است".
در حالی که آمازون و گوگل این مشکلات را پچ کرده اند، در کنار آن تیم تحقیقاتی Wiz نیز ابزاری را منتشر کرده است که به شرکت ها اجازه می دهد آزمایش کنند که آیا بروزرسانی های داخلی DDNS آنها به ارائه دهندگان DNS یا عاملان مخرب نشت کرده است یا خیر.
برچسب ها: آمازون, loophole, DNS-as-a-Service, Amazon, Traffic, Wiz, DDNS, AWS, Route53, DNS Route53, Google Cloud DNS, DNSaaS, فضای ابری, cybersecurity, DNS, IP Address, ترافیک شبکه, گوگل, امنیت سایبری, Cyber Attacks, حمله سایبری