Yeni Bir DNS Güvenlik Açığı ‘Ulusal Düzeyde Casusluğa’ Sebep Olabilir
Güvenlik araştırmacıları, saldırganların kurumsal ağlardan hassas bilgilere erişmesine izin verebilecek, başlıca Hizmet Olarak DNS (DNSaaS) sağlayıcılarını etkileyen yeni bir DNS güvenlik açığı buldu.
DNSaaS sağlayıcıları (yönetilen DNS sağlayıcıları olarak da bilinir), kendi başlarına başka bir ağ varlığını yönetmek ve güvenliğini sağlamak istemeyen diğer kuruluşlara DNS kiralama hizmetleri sağlamakta.
Bulut güvenlik firması Wiz araştırmacıları Shir Tamari ve Ami Luttwak tarafından Black Hat güvenlik konferansında açıklandığı üzere, bu DNS açıkları tehdit aktörlerine basit bir alan kaydı ile istihbarat toplama olanağı tanıyor.
15 binden fazla kurumun bilgilerine erişim sağlanabildi
Araştırmacıların yaptıkları açıklamaya göre, söz konusu açıktan yararlanma süreci oldukça basit. Bir etki alanı kaydı yaptılar ve bir DNSaaS sağlayıcısının isim sunucusunu (bu örnekte, Amazon Route 53) ele geçirmek için kullandılar, bu da Route 53 müşterilerinin ağlarından gelen dinamik DNS trafiği akışını dinlemelerini sağladı.
Wiz araştırmacıları, “Amazon ve Google gibi yönetilen DNS sağlayıcılarından geçen dünya çapındaki dinamik DNS trafiğinin bir kısmını engellememize izin veren basit bir boşluk bulduk” dedi.
“Dinlediğimiz dinamik DNS trafiği, Fortune 500 şirketleri, 45 ABD devlet kurumu ve 85 uluslararası devlet kurumu dahil olmak üzere 15.000’den fazla kuruluştan geldi.”
Bu şekilde topladıkları veriler, çalışan/bilgisayar adları ve konumlarından, İnternet’e maruz kalan ağ cihazları da dahil olmak üzere kuruluşların altyapısıyla ilgili son derece hassas ayrıntılara kadar uzanıyordu.
Araştırmacılar bir örnekte ise, 40.000 kurumsal uç noktadan alınan ağ trafiğini kullanarak dünyanın en büyük hizmet şirketlerinden birinin ofis konumlarının haritasını çıkardı.
Bu şekilde toplanan bilgiler, tehdit aktörlerinin bir kuruluşun ağını ihlal etme işini çok daha kolay hale getirecek, çünkü onlara “şirketler ve hükümetler içinde neler olup bittiğine dair kuşbakışı bir perspektif ” sağlayacak ve bu da “ulus-devlet düzeyinde casusluk yeteneği” kazanmalarına sebep olacak.
Araştırmacılar, ortaya çıkardıkları bu güvenlik açığının daha önce istismar edildiğine dair kanıt bulamadılar, ancak açıkladıkları gibi, sorunlar hakkında bilgisi olan ve onu kötüye kullanma becerisine sahip herkes “on yıldan fazla bir süredir tespit edilmemiş veriler toplamış olabilirdi. “
“Etki çok büyük. İncelediğimiz altı büyük DNSaaS sağlayıcısından üçü ad sunucusu kaydına karşı savunmasızdı. DNSaaS sağlayan herhangi bir bulut sağlayıcısı, etki alanı kayıt kuruluşu ve web sitesi barındırıcısı savunmasız olabilir.”
Bazı sağlayıcılar açığı giderdi, ancak yine de milyonlarca cihaz savunmasız durumda
İşleri daha da kötüleştiren şey, iki büyük DNS sağlayıcısı (Google ve Amazon) bu açığı düzeltmiş olsa da, diğerleri muhtemelen hala savunmasız durumda.
Ayrıca, bu kritik hatayı kimin düzeltmesi gerektiği tam olarak belli değil. Microsoft, Wiz’e bunun bir güvenlik açığı olmadığını söyledi.
Microsoft’un açıkladığına göre, bu kusur “bir kuruluş harici DNS çözümleyicilerle çalıştığında ortaya çıkan bilinen bir yanlış yapılandırmadır.” Redmond ise, DNS çakışmalarını ve ağ sorunlarını önlemek için dahili ve harici ana bilgisayarlar için ayrı DNS adları ve bölgeleri kullanılmasını önermekte.
DNS sunucuları kiralayan şirketler, varsayılan Yetki Başlangıcı (SOA) kaydını değiştirerek dinamik DNS güncellemeleri yoluyla dahili ağ trafiğinin sızmasını engellemek için değişiklikler yapabilir.
Wiz’in Çarşamba günü yayınladığı rapordaki ek bilgi ve teknik detaylara buradan, Black Hat sunum slaytlarına ise buradan ulaşabilirsiniz.
Kaynak: bleepingcomputer.com
Diğer Haberler
Mitsubishi PLC’ler Uzaktan Erişime İzin Veriyor
VMware, Kritik Güncellemeler Yayınladı
CISA, Fidye Yazılımlarına Karşı Microsoft, Google ve Amazon ile Birlikte Çalışacak
