Errores de servicios DNS administrados en la nube permiten a los atacantes espiar el tráfico DNS
Los investigadores de ciberseguridad han revelado una nueva clase de vulnerabilidades que afectan a los principales proveedores de DNS como servicio (DNSaaS) y que podrían permitir a los atacantes exfiltrar información confidencial de las redes corporativas.
"Encontramos una laguna simple que nos permitió interceptar una parte del tráfico DNS dinámico mundial que pasa por proveedores de DNS administrados como Amazon y Google", dijeron los investigadores Shir Tamari y Ami Luttwak de la firma de seguridad de infraestructura Wiz.
Llamándolo un "pozo sin fondo de valiosa información", el tesoro de información contiene direcciones IP internas y externas, nombres de computadoras, nombres y ubicaciones de empleados, y detalles sobre los dominios web de las organizaciones. Los hallazgos se presentaron la semana pasada en la conferencia de seguridad Black Hat USA 2021.
"El tráfico que se nos filtró desde el tráfico de la red interna proporciona a los actores maliciosos toda la información que necesitarían para lanzar un ataque exitoso", agregaron los investigadores. "Más que eso, le da a cualquiera una vista panorámica de lo que está sucediendo dentro de las empresas y los gobiernos. Comparamos esto con tener capacidad de espionaje a nivel de estado-nación, y conseguirlo fue tan fácil como registrar un dominio".
El proceso de explotación depende del registro de un dominio en el servicio DNS Route53 de Amazon (o Google Cloud DNS) con el mismo nombre que el servidor de nombres DNS - que proporciona la traducción (también conocida como resolución) de los nombres de dominio y nombres de host en sus correspondientes direcciones de Protocolo de Internet (IP) - resultando en un escenario que efectivamente rompe el aislamiento entre inquilinos, permitiendo así acceder a valiosa información.
En otras palabras, al crear un nuevo dominio en la plataforma Route53 dentro del servidor de nombres de AWS con el mismo nombre y señalar la zona alojada a su red interna, hace que sea secuestrado el tráfico de DNS dinámico de los puntos finales de los clientes de Route53 y enviado directamente al servidor deshonesto y del mismo nombre, creando así un camino fácil para mapear redes corporativas.
"El tráfico de DNS dinámico que interceptamos provino de más de 15.000 organizaciones, incluidas las empresas Fortune 500, 45 agencias gubernamentales de EE. UU. y 85 agencias gubernamentales internacionales", dijeron los investigadores. "Los datos incluían una gran cantidad de valiosa información, como direcciones IP internas y externas, nombres de computadoras, nombres de empleados y ubicaciones de oficinas".
Si bien Amazon y Google han solucionado los problemas desde entonces, el equipo de investigación de Wiz también ha lanzado una herramienta para permitir que las empresas prueben si sus actualizaciones internas de DDNS se están filtrando a proveedores de DNS o actores maliciosos.