セキュリティカンファレンス「Black Hat」において、2人のセキュリティ研究者が、ホスト型DNSサービスプロバイダーに影響を与えるセキュリティ問題を公表しました。
この問題を悪用すると、プラットフォームのノードを乗っ取り、受信するDNSトラフィックの一部を傍受して、顧客の内部ネットワークをマッピングすることができます。
クラウドセキュリティ企業であるWiz社のShir Tamari氏とAmi Luttwak氏が発見したこの脆弱性は、マネージドDNSプラットフォームが収集する機密情報の量の魅力を浮き彫りにしています。
脆弱性の発生メカニズム
DNS-as-a-Serviceプロバイダーとも呼ばれるこれらのサービスは、DNSサーバーを企業にレンタルおり、独自のDNSネームサーバーを運用することを非常に簡単にしています。
AWS Route53やGoogle Cloud Platformのようなサービスを利用するメリットは、企業がDNSサーバーのインフラストラクチャの管理をサードパーティに任せ、優れた稼働時間とセキュリティを利用できることです。
マネージドDNSプロバイダーと契約した企業は、通常社内のドメイン名をサービスプロバイダーに登録する必要があり、通常企業がバックエンドポータルにアクセスし、company.comやその他のドメインをプロバイダーのネームサーバー(例:ns-1611.awsdns-09.co.uk)に追加します。
これが完了すると、企業の従業員がイントラネットのアプリやインターネットのウェブサイトに接続しようとしたときに、そのコンピュータがサードパーティのDNSサーバに接続に必要なIPアドレスを問い合わせます。
Wizチームが発見したのは、いくつかのマネージドDNSプロバイダーが、バックエンド内で自社のDNSサーバーをブラックリスト化していないことでした。
Wizの研究者は、マネージドDNSプロバイダーのネームサーバー自体(例:ns-1611.awsdns-09.co.uk)をバックエンド内に追加し、それを内部ネットワークに向けることができたと語っています。
これにより、Wizチームは乗っ取られたマネージドDNSプロバイダーのサーバーに届くDNSトラフィックをハイジャックすることができました。しかし、Wizチームは、そのサーバーを経由するすべてのDNSトラフィックを受信したわけではなく、ダイナミックDNSアップデートのみを受信したと述べています。
これは、内部ネットワーク内のIPアドレスなどが変更された際に、ワークステーションがDNSサーバーに送信する特別なDNSメッセージです。
Wizチームによると、企業のリアルタイムのDNSトラフィックを盗み見することはできなかったものの、ダイナミックDNSアップデートによって同じマネージドDNSサーバーを使用している企業のリストアップや、それらの企業の内部ネットワーク図を作成することができたという。
TamariとLuttwakによると、テストが行われた14時間の間に、130以上の政府機関と多くのFortune 500企業を含む15,000以上の組織からダイナミックDNSアップデートを収集することができたとのことです。
データには、各システムの内部および外部IPアドレス、コンピュータ名、場合によっては従業員名まで含まれていました。
2人は、このデータを「情報の金鉱」と表現し、このデータはさまざまな方法で利用できると語っている。価値の高い企業の内部構造を把握したり、ドメインコントローラーを特定したり、さらには、通常のスパム&プライヤーのアプローチよりも高い精度でサイバー攻撃を仕掛けたりすることができるという。
例えば、NATで保護されたIPv4アドレスを使用している企業のシステムと、IPv6アドレスを使用している企業のシステムを特定することができました。IPv6アドレスは、その性質上常にオンラインで接続されており、直接攻撃を受ける可能性があります。
さらに、このデータは、サイバーセキュリティ以外の目的で使用される可能性もあり、諜報機関がこのデータを利用して企業と政府機関の接続を相互に関連付けたり、政府機関の契約者を特定したりすることができます。
また、Wizチームは、収集したデータをリストにプロットした結果、OFACの規制を破り、イランやコートジボワールなどの制裁国でビジネスを行っている企業を特定することもできたという。
アマゾンとグーグルがアップデートを展開
Wizのチームによると、この問題に脆弱なDNS-as-a-Serviceプロバイダーが3社見つかったといい、そのうちAmazonとGoogleの2社はアップデートを展開しており、3社目はパッチを当てている最中だという。
アマゾンとグーグルの広報担当者は、Wizが発見した攻撃面を修正し、バックエンドの内部で独自ドメイン名の登録をブロックしていると伝えています。
また、ユーザがこのバグを悪用して顧客のデータを収集した可能性がある過去の事例を調査したかどうかを両社に尋ねたところ、アマゾンの広報担当者はこの質問に答えませんでしたが、グーグルは「(自社の)プラットフォーム上で悪意のある悪用があったという証拠はない」と述べています。
また、Wizチームによると、さらに約10社のDNS-as-a-Serviceプロバイダーが同様の攻撃を受けている可能性が高いと考えています。
しかし、Wizチームによると、今回の問題は、プロバイダーが自社のバックエンド内で自社のDNSサーバーの登録をブラックリスト化することを忘れていたということだけではなく、問題はそもそもなぜダイナミックDNSの更新がインターネット上に届くのか、また、なぜこれらの更新がローカルネットワークだけに限定されないのか、という点にあります。
DNS 更新機能を使用すると、DNS クライアント コンピューターは、変更が発生するたびに DNS サーバーにリソース レコードを登録し、動的に更新することができます。この機能を使用すると、特に頻繁に移動し、IP アドレスの取得に DHCP (Dynamic Host Configuration Protocol) を使用するクライアントの場合、ゾーン レコードの手動管理の要件を減らすことができます。
研究者は、この種のDNSトラフィックがローカルネットワークを通過してインターネットに到達することを可能にする、Microsoft Windowsサーバのデフォルトオプションを非難しています。
マイクロソフト社の広報担当者は、ダイナミックDNSアップデートがインターネットに到達するのを防ぐために、以下のガイドに従うことを推奨しています。
Comments