Исследователи обнаружили эффективный способ компрометации доменов верхнего уровня.
Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа
Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном программном обеспечении DNS и режимах работы серверов, что делает уязвимой примерно треть всех серверов CDNS.
Исследователи
DNS (Domain Name System) — это иерархическая и распределённая система именования для интернет-ресурсов и сетей, которая помогает преобразовывать удобочитаемые доменные имена в числовые IP-адреса для установки сетевого соединения.
DNS-резолверы (DNS-распознаватели) используют
Концепция отравления DNS-кэша заключается во внедрении поддельных ответов в кэш резолвера, заставляя сервер направлять пользователей, вводящих легитимный
Резолверы CDNS поддерживают как рекурсивный, так и перенаправляющий режим, используемый интернет-провайдерами и корпоративными сетями для снижения затрат и улучшения контроля доступа. Причём именно перенаправляющий режим наиболее уязвим.
Исследователи выявили несоответствия в контрольной проверке известного программного обеспечения DNS, включая BIND9 (
В некоторых случаях специалисты отметили такие конфигурации, в которых все записи обрабатывались так, как если бы они находились в корневом домене, что является очень уязвимой конфигурацией.
Примеры, представленные исследователями во время презентации BlackHat, включают в себя атаки как на пути (On-path/Inline), так и вне пути (Out-path/Out-of-path). Последние являются более сложными, но и гораздо более ценными для злоумышленников.
Для этих атак хакерам необходимо предсказать исходный порт и идентификатор транзакции, используемые рекурсивными DNS-серверами цели при создании запроса, а затем использовать вредоносный DNS-сервер для отправки поддельных ответов с правильными параметрами.
Вывод исходного порта и угадывание идентификаторов транзакций можно выполнить с помощью
Исследователи просканировали Интернет и обнаружили 1 200 000 DNS-резолверов, из которых 154 955 являются серверами CDNS. Затем, используя программную идентификацию уязвимых версий, они обнаружили 54 949 уязвимых серверов CDNS, все из которых подвержены атакам по пути следования трафика, а 88,3% подвержены атакам вне пути.
Выявленная исследователями
Все затронутые поставщики программного обеспечения подтвердили наличие уязвимости и исправили их. А Microsoft даже присудила награду исследователям за их отчёт.
Тем не менее, чтобы проблемы были полностью устранены, администраторы CDNS должны применить исправления и следовать рекомендациям по настройке, предоставленным поставщиками.
Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа
Для просмотра ссылки необходимо нажать
Вход или Регистрация
новую мощную атаку с отравлением кэша под названием «MaginotDNS», которая нацелена на резолверы условных
Для просмотра ссылки необходимо нажать
Вход или Регистрация
(
Для просмотра ссылки необходимо нажать
Вход или Регистрация
) и может скомпрометировать целые домены верхнего уровня
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Атака стала возможной благодаря несоответствиям в реализации проверок безопасности в различном программном обеспечении DNS и режимах работы серверов, что делает уязвимой примерно треть всех серверов CDNS.
Исследователи
Для просмотра ссылки необходимо нажать
Вход или Регистрация
свою работу на прошедшей недавно конференции
Для просмотра ссылки необходимо нажать
Вход или Регистрация
2023, сообщив, что выявленные проблемы уже устранены на уровне программного обеспечения.DNS (Domain Name System) — это иерархическая и распределённая система именования для интернет-ресурсов и сетей, которая помогает преобразовывать удобочитаемые доменные имена в числовые IP-адреса для установки сетевого соединения.
DNS-резолверы (DNS-распознаватели) используют
Для просмотра ссылки необходимо нажать
Вход или Регистрация
,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
и
Для просмотра ссылки необходимо нажать
Вход или Регистрация
для выполнения запросов и получения ответов. Резолверы могут быть итеративными и рекурсивными, включая несколько шагов обмена с корневыми серверами, TLD-серверами, авторитетными серверами.Концепция отравления DNS-кэша заключается во внедрении поддельных ответов в кэш резолвера, заставляя сервер направлять пользователей, вводящих легитимный
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, по неверным IP-адресам, ведя их на вредоносные веб-сайты без их ведома.Резолверы CDNS поддерживают как рекурсивный, так и перенаправляющий режим, используемый интернет-провайдерами и корпоративными сетями для снижения затрат и улучшения контроля доступа. Причём именно перенаправляющий режим наиболее уязвим.
Исследователи выявили несоответствия в контрольной проверке известного программного обеспечения DNS, включая BIND9 (
Для просмотра ссылки необходимо нажать
Вход или Регистрация
), Knot Resolver (
Для просмотра ссылки необходимо нажать
Вход или Регистрация
), Microsoft DNS и Technitium (
Для просмотра ссылки необходимо нажать
Вход или Регистрация
).В некоторых случаях специалисты отметили такие конфигурации, в которых все записи обрабатывались так, как если бы они находились в корневом домене, что является очень уязвимой конфигурацией.
Примеры, представленные исследователями во время презентации BlackHat, включают в себя атаки как на пути (On-path/Inline), так и вне пути (Out-path/Out-of-path). Последние являются более сложными, но и гораздо более ценными для злоумышленников.
Для этих атак хакерам необходимо предсказать исходный порт и идентификатор транзакции, используемые рекурсивными DNS-серверами цели при создании запроса, а затем использовать вредоносный DNS-сервер для отправки поддельных ответов с правильными параметрами.
Вывод исходного порта и угадывание идентификаторов транзакций можно выполнить с помощью
Для просмотра ссылки необходимо нажать
Вход или Регистрация
или с помощью
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Исследователи просканировали Интернет и обнаружили 1 200 000 DNS-резолверов, из которых 154 955 являются серверами CDNS. Затем, используя программную идентификацию уязвимых версий, они обнаружили 54 949 уязвимых серверов CDNS, все из которых подвержены атакам по пути следования трафика, а 88,3% подвержены атакам вне пути.
Выявленная исследователями
Для просмотра ссылки необходимо нажать
Вход или Регистрация
представляет серьёзную опасность для стабильного функционирования интернета по нескольким причинам:- Во-первых, она затрагивает критически важную инфраструктуру – систему доменных имён DNS, которая играет ключевую роль в работе всей глобальной сети. Её сбои или компрометация могут привести к масштабным перебоям в функционировании интернета.
- Во-вторых, масштаб уязвимых серверов очень велик – речь идёт о сотнях тысяч устройств по всему миру. Это открывает хакерам широкие возможности для атак.
- В-третьих, сам механизм атаки довольно изощренный и позволяет обходить многие существующие меры защиты, оставляя DNS-серверы фактически беззащитными.
Все затронутые поставщики программного обеспечения подтвердили наличие уязвимости и исправили их. А Microsoft даже присудила награду исследователям за их отчёт.
Тем не менее, чтобы проблемы были полностью устранены, администраторы CDNS должны применить исправления и следовать рекомендациям по настройке, предоставленным поставщиками.
Для просмотра ссылки необходимо нажать
Вход или Регистрация