idNSA.id - Peneliti keamanan siber telah mengungkapkan kerentanan baru yang berdampak pada penyedia DNS-as-a-Service (DNSaaS) utama yang memungkinkan penyerang untuk mengekstrak informasi sensitif dari jaringan perusahaan
"Kami menemukan celah sederhana yang memungkinkan untuk mencegat sebagian dari lalu lintas DNS dinamis di seluruh dunia akan melalui penyedia DNS dikelola seperti Amazon dan Google," peneliti Shir Tamari dan Ami Luttwak dari perusahaan keamanan infrastruktur Wiz.
Menyebutnya sebagai "sumur intel berharga yang tak berdasar," harta karun informasi berisi alamat IP internal dan eksternal, nama komputer, nama dan lokasi karyawan, dan detail tentang domain web organisasi. Temuan itu dipresentasikan pada konferensi keamanan Black Hat USA 2021.
"Lalu lintas yang bocor dari lalu lintas jaringan internal memberikan semua informasi yang dibutuhkan penyerang untuk meluncurkan serangan dan berhasil," tambah para peneliti. "Lebih dari itu, ini memberi siapa pun pandangan sekilas tentang apa yang terjadi di dalam perusahaan dan pemerintah. Kami menyamakan ini dengan memiliki kemampuan mata-mata tingkat negara bagian - dan mendapatkannya semudah mendaftarkan domain."
Proses eksploitasi bergantung pada pendaftaran domain pada layanan DNS Route53 Amazon (atau Google Cloud DNS) dengan nama yang sama dengan server nama DNS — yang menyediakan terjemahan (alias resolusi) nama domain dan nama host ke dalam Protokol Internet (IP) yang sesuai. alamat — menghasilkan skenario yang secara efektif memecah isolasi antara penyewa, sehingga memungkinkan informasi berharga untuk diakses.
Dengan kata lain, dengan membuat domain baru pada platform Route53 di dalam servername AWS dengan moniker yang sama dan mengarahkan zona yang dihosting ke jaringan internal mereka, hal itu menyebabkan lalu lintas DNS Dinamis dari titik akhir pelanggan Route53 dibajak dan dikirim langsung ke rogue dan server dengan nama yang sama, sehingga menciptakan jalur yang mudah untuk memetakan jaringan perusahaan.
"Lalu lintas DNS dinamis yang kami sadap berasal dari lebih dari 15.000 organisasi, termasuk perusahaan Fortune 500, 45 lembaga pemerintah AS, dan 85 lembaga pemerintah internasional," kata para peneliti. "Data tersebut mencakup banyak informasi berharga seperti alamat IP internal dan eksternal, nama komputer, nama karyawan, dan lokasi kantor."
Sementara Amazon dan Google telah memperbaiki masalah tersebut, tim peneliti Wiz juga telah merilis alat untuk memungkinkan perusahaan menguji apakah pembaruan DDNS internal mereka bocor ke penyedia DNS atau pelaku jahat.
