Как защитить корпоративные сети и не разориться на ИБ-решениях?

- КиТ :: Будь в СЕТИ!

Количество DDoS-атак на сети выросло на 500%. Смартфоны и планшеты сотрудников и посетителей офисов, удаленные подключения и развитие интернета вещей хоронят стратегии ИБ-департаментов. Латать каждую новую пробоину подручными средствами - слишком дорого и попросту опасно!

ак вернуть былую производительность LAN-сетей? Стоит ли покупать комплексные ИБ-решения? Как перестать тратить на локальные сети миллионы рублей? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об обеспечении безопасности проводных и беспроводных сетей.

Электронная книга

От SD-WAN до SASE: как подготовить сети к масштабированию и инновациям?

Стратегии сетевой безопасности проваливаются одна за другой. Компании не могут растянуть периметр в условиях полной удаленки и не готовы к грядущим инновациям. Для них гипермасштабирование, многооблачные среды и G останутся просто нереализованной фантазией.

Как защитить всех пользователей сети от внешних и внутренних угроз? Можно ли снизить расходы на обслуживание WAN-сетей? Станут ли панацеей периферийные сервисы безопасного доступа (SASE)? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet о требованиях к стратегии обеспечения сетевой безопасности от SD-WAN до SASE. Техника Поделиться Amazon и Google спешно латают 10-летнюю брешь в своих DNS-платформах. Microsoft спокоен Серьезная уязвимость в архитектуре DNS-провайдеров была раскрыта на Black Hat Security. Баг позволяет перехватывать часть входящего DNS-трафика. Amazon, Google и другие

На конференции Black Hat Security была раскрыта серьезная уязвимость, затрагивающая крупнейших DNS-провайдеров. Эта уязвимость позволяет захватывать контроль над узлами платформы, перехватывать часть входящего DNS-трафика и собирать подробные данные о внутренних сетях клиентов DNS-провайдеров.

Amazon и Google уже вносят изменения в свои DNS-платформы, но проблема затрагивает далеко не только их. DNS-провайдеры предоставляют серверы DNS в аренду корпоративным клиентам, которые не хотят расходовать силы и средства на развертывание и поддержку собственных DNS-ресурсов.

Как выяснили эксперты компании Wiz Шир Тамари (Shir Tamari) и Ами Луттвак (Ami Luttwak), уязвимость позволяет «перехватывать общемировой динамический DNS-трафик, проходящий через таких провайдеров как Amazon и Google».

Эксплуатация уязвимости выглядит достаточно просто: исследователи зарегистрировали домен и использовали его для захвата контроля над сервером имен провайдера - AmazonRoute 53, что позволило им просматривать динамический DNS-трафик, исходящий из сетей клиентов Route 53.

Уязвимость в системах DNS-провайдеров открывает широкие шпионские возможности

«AWS Route 53 содержит около 2 тыс. DNS-серверов, которые используются совместно всеми их пользователями. Мы зарегистрировали новый домен на платформе Route53 с тем же названием, что и официальный DNS-сервер (с технической точки зрения, мы создали новую “хост-зону” внутри сервера имен AWSns-1611.awsdns-09.co.uk и назвали ее ns-852.awsdns-42.net), - пишут исследователи. - При каждом добавлении домена к Route53, выделяются четыре разных DNS-сервера для управления доменом. Мы удостоверились, что сервер имен, который мы зарегистрировали на платформе, находится под управлением того же сервера. По сути, мы повторили этот процесс примерно на 2 тыс. серверах имен только на AWS... Теперь мы частично контролировали зону хостов и могли перенаправить ее на свой IP-адрес. Каждый раз, когда DNS-клиент опрашивает этот сервер имен... трафик направляется на наш IP-адрес».

Эксперты уточнили, что запросы к серверу имен направляются тысячами устройств, которым требуется обновление их IP-адресов внутри сети.

«Трафик, который мы “прослушивали”, поступал от 15 тыс. организаций, в том числе компаний из списка Fortune 500, 45 правительственных организаций в США и 85 международных правительственных организаций», - заявили исследователи.

По их словам, они видели самые разные данные - от простых названий рабочих компьютеров и имен их пользователей до весьма чувствительной информации об инфраструктуре организаций, в том числе сетевых устройствах, открытых для доступа извне.

В одном случае эксперты смогли составить подробную карту офисов одной из крупнейших сервисных компаний, используя трафик, исходящий от 40 тыс. конечных точек (рабочих станций, серверов и т. д.) компании.

Шпионские возможности национального государства

Подобные сведения могут заметно облегчить потенциальным киберзлоумышленникам задачу по компрометации чужой инфраструктуры. Как выразились эксперты, уязвимость предоставляет злоумышленникам «шпионские возможности уровня национального государства».

По данным Тамари и Луттвака, из шести крупнейших DNSaaS-провайдеров, которых они изучили, три оказались уязвимы. Информации о том, что этой уязвимостью кто-то уже воспользовался, нет, но при должном уровне подготовки и знании об этой уязвимости потенциальные злоумышленники могли бы более десятка лет шпионить за множеством компаний, оставаясь совершенно незамеченными.

В то время как Amazon и Google уже приняли меры к нейтрализации проблемы, в Microsoft, например, заявили, что речь идет не об уязвимости, а об «известной проблеме» с неправильными настройками, которая случается, когда организация работает с внешними DNS-преобразователями. В Microsoft рекомендуют использовать разные имена и зоны DNS для внутренних и внешних хостов, чтобы избежать конфликтов в DNS и проблем с сетями.

Поставщики управляемых DNS-услуг могут решить проблему, следуя рекомендациям по резервированию имен RFC, а также проверяя принадлежность и доступность доменов до того как разрешать регистрировать их своим пользователям.

Компаниям, которые берут серверы DNS в аренду, рекомендовано перенастроить запись Start-of-Authority так, чтобы внутренний трафик не мог утекать через динамические обновления DNS.

«Речь идет об архитектурной особенности, которая может эксплуатироваться как уязвимость, но которую до сих пор едва ли воспринимали в таком качестве, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Теперь неочевидное становится очевидным, и DNS-провайдерам, как и их клиентам, сейчас будет необходимо срочно перенастраивать соответствующие системы, чтобы избежать сценария, описываемого Тамари и Луттваком.

Роман Георгиев

Поделиться

Другие материалы рубрики

Починка мелкой уязвимости в важной библиотеке Linux вызвала к жизни жуткую «дыру». Под ударом все дистрибутивы

ФСБ собирается посадить сотрудника техподдержки после проверки уязвимостей в «Ростехе»

Конференция «ИКТ в госсекторе 2021» состоится 21 сентября

Минцифры обяжет «Билайн», МТС, «Мегафон» и Tele2 открывать бесплатный доступ к госуслугам для активации SIM-карт

Таинственный «благородный вор», укравший криптовалюту на $600 млн, стал возвращать деньги хозяевам

О приватности можно забыть. Apple согласилась взламывать iPhone для силовиков

MARKET.CNEWS IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

Dedicated

Подобрать выделенный сервер

От 1499 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

ИТ-безопасность

Подобрать решения для повышения ИТ-безопасности компании

От 684 руб./месяц

Техника Как выбрать удобное кресло для работы за компьютеромЛучшие планетарные миксеры: выбор ZOOMКак выбрать кондиционер для квартиры: советы ZOOM Наука Машина скорой помощи в супер-микроволновке: революция в дезинфекции Гибкая электроника будущего сможет работать на гигагерцовых частотах Почему на Земле так много кислорода? Ученые «винят» Луну и микробов Событие месяца Как спасти российский бизнес от кибератак

Крупные мировые компании теряют в среднем $1 млн на атаках

Решение месяца Промышленность станет
кибериммунной

ИТ в госсекторе Как работает импортозамещение ИТ-оборудования в российских школах и больницах

На что государство тратит десятки миллионов рублей?

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg