新发现DNS安全漏洞影响巨大,政企如何做好DNS安全防护?
在不久前召开的美国黑帽安全大会上,云安全公司Wiz的研究人员披露了一项影响托管DNS服务商的新问题。利用这个bug,攻击者可以劫持平台节点、拦截部分传入的DNS流量并据此映射客户的内部网络。
该问题影响到了亚马逊、谷歌等DNS托管服务的广大企业客户。该漏洞一旦被利用,可能会给企业甚至国家带来巨大的安全风险,正如Wiz.io研究人员所描述:“这个新的DNS漏洞使国家级别的窃密活动像注册域名一样简单!”
漏洞原理
很多企业为了减轻DNS服务器的管理负担,或者为了更好的安全保障,常常会选择购买AWS Route53、Google Cloud Platform等托管服务。
但是,这些DNS服务供应商并没有将自己的DNS服务器列入黑名单,这样导致的结果是攻击者可以将DNS服务商的名称服务器添加到后端,并将其指向内部网络,从而借此劫持DNS流量。
如此一来,Wiz团队就能顺利劫持被发送至托管DNS服务商服务器处的DNS流量。但从实际测试来看,Wiz团队并没有收到经由该服务器的所有DNS流量,只是收到了大量动态DNS更新。动态DNS更新是指工作站在内部网络中的IP地址或其他详细信息发生变化时发送到 DNS 服务器的特殊 DNS 消息。这些数据包括了每个系统内部和外部的IP地址以及计算机名称。通过这些动态DNS更新数据已经足以绘制使用同一托管DNS服务器的其他企业的内网结构图。
漏洞影响
研究人员目前还尚未发现该DNS漏洞之前被利用的证据。但是该漏洞的影响非常大。研究人员在分析的6个主要的DNSaaS提供商中发现3个受到域名服务器注册的影响。此外,所有提供DNSaaS的云服务提供商、域名注册商、网站主机都可能受到该漏洞的影响。
在进行测试的14个小时当中,Wiz团队成功从15000多个组织处收集到动态DNS更新,其中涉及130多家政府机构与不少财富五百强企业。这部分泄露数据包括各系统的内部与外部IP地址、计算机名称,在某些极端情况下甚至涉及员工姓名。
这类数据有着广泛的用途,包括确定高价值企业的内部结构、识别域控制器,然后以远超传统随机发送垃圾邮件等高针对性精准方式向目标发起攻击。
漏洞补丁更新
研究人员表示发现三家DNS即服务提供商易受该漏洞影响,其中两家是亚马逊和谷歌,它们已推出更新,而第三家正在着手推出补丁。亚马逊和谷歌的发言人指出已修复这个漏洞,目前已在后端阻止自己的域名注册。另外,研究人员认为有十几家DNS即服务提供商也很可能易受类似攻击影响。微软建议企业按照《和启用Windows Server DNS 安全更新有关的指南》和《与网络安全最佳实践相关的其它信息》两个指南(可在微软官方文档中找到)阻止DNS动态更新暴露到互联网上。
对DNS的防护
DNS从诞生至今已经有数十年历史,是互联网最重要的基础服务之一,它承担着将域名指向可由计算机识别的IP地址的重要作用,因此DNS的安全是保障网络安全畅通的核心和基础。
但正因为DNS如此重要的作用,其一旦出现漏洞或遭受攻击,必然会对网络的正常访问和使用造成严重影响,给政府和企业带来巨大的损失。
传统的DNS一般只部署一个解析节点,防护能力和解析性能较弱,如果用户访问量过大或者遭受恶意的DDoS攻击,很容易导致线路拥堵、服务器的宕机,造成严重影响。
中科三方智能云解析系统,在全球部署多个解析服务节点,具备智能线路选择、智能区域划分、负载均衡、宕机切换等特点,可有效分摊大流量访问和攻击,确保解析线路畅通和稳定;同时中科三方云解析系统采用高防DNS,可提供更高的防护流量,承受更大规模的DDoS攻击和QPS查询,免遭DNS漏洞和DNS攻击的影响,有效保护用户的域名及网络安全。
因此,对于政府部门、金融、科研、大型企业这样的重要领域重要客户而言,选择防护及解析性能更为强大的云解析服务,是应对DNS漏洞和攻击,保障解析稳定、网络安全的有效选择和途径。
与此同时,我们也应该清晰地认识到DNS的建设是一个系统工程,DNS的安全防护涉及诸多维度。面对频繁发生的DNS安全漏洞,政府和企业必须提高重视程度,及时检测发现,及时填补漏洞,避免造成更大的损失。
新发现DNS安全漏洞影响巨大,政企如何做好DNS安全防护?相关推荐
- DNS漏洞影响数百万物联网设备安全,ZDNS打造Safeguard安全威胁管控系统,精准防御实现网络安全防线前移
uClibc库域名系统(DNS)组件中的一个漏洞影响了数百万的物联网设备安全.近期,来自全球工业网络安全领域领导企业NozomiNetworks的一则警告,在业内引发了一场舆论"地震&quo ...
- dns服务器漏洞修复,KB4569509:DNS 服务器漏洞 CVE-2020-1350 指南
简介 2020 年 7 月 14 日,Microsoft 发布了针对 CVE-2020-1350 | Windows DNS 服务器远程代码执行漏洞中描述的问题的安全更新. 此通报描述了影响配置为运行 ...
- 16个UEFI固件漏洞影响惠普多个产品线,其中1个影响无数厂商
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 200多家厂商的OT设备受14个漏洞影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 200多家厂商的工业设备和运营技术 (OT) 设备的常用TCP/IP 库中包含14个漏洞,被统称为 "INFRA:HALT&qu ...
- 比 Windows DNS 蠕虫漏洞更严重!SharePoint 反序列化RCE漏洞详情已发布,速修复
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 安全研究员 Steven Seeley 发布文章,详细分析了 CVE-2020-1147 漏洞的根因以及低权限用户如何可在易受攻击的 ...
- 严重的 Windows DNS RCE漏洞 SIGRed PoC 已现身,微补丁发布
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 前几天,Windows DNS 服务器被曝一个严重的 RCE 漏洞 SIGRed,目前不具有 ESU(扩展安全更新)许可的服务器已收到 ...
- 已潜伏17年!严重的“可蠕虫”系统漏洞影响所有Windows Server
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 研究人员告警组织机构尽快修复微软 Windows Server 各版本,以免企业网络遭已存在17年之久的.严重的可蠕虫漏洞 SigRe ...
- Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,以色列网络安全公司 JSOF 警告称,在20世纪90年代设计的一个小型库 Treck TCP/IP 中发现了19个漏洞,可导致全 ...
- 42岁巨星陨落!黑客之神Dan Kaminsky去世,曾因发现DNS安全漏洞一战成名
本文转载自 新智元 突发!曾因发现DNS安全漏洞的著名黑客Dan Kaminsky被爆去世,年仅42岁.黑客圈因此一片哗然.身为各大黑客会议常客的他,除了DNS漏洞事件,他还是调查2005年Sony ...
最新文章
- 【python】命令行解析工具getopt用法
- 基于matlab的卷积码实验报告,基于MATLAB的卷积码编译码设计仿真.doc
- windbg学习.formats--转换成各种进制
- Android菜鸟的成长笔记(28)——Google官方对Andoird 2.x提供的ActionBar支持
- * poj 1062 昂贵的礼物 dijkstra 枚举区间
- 微信小程序常见面试题及答案
- 正弦波、方波、三角波的产生和两两之间相互转换
- 后盾网div+css,css定位(后盾网)
- bzoj2827: 千山鸟飞绝 平衡树 替罪羊树 蜜汁标记
- 爬取贴吧上的图片到本地
- python字符串怎么定义_Python 字符串定义
- 迅为3A5000_7A2000开发板龙芯国产处理器LoongArch架构
- python关于函数作用的描述_Python函数的概念和使用
- 手机电脑同步投屏演示工具-Wormhole
- html有序列表序号字体大小,css – 对不同字体大小的排序列表编号进行样式化
- picview是哪里的图片_pic是图片还是照片
- 壁纸网站:Wallpaper Search: - wallhaven.cc
- 机器学习系列(22)_SVM碎碎念part5:凸函数与优化
- pureMVC 之 系统框架
- Whale帷幄 - 车企数字化转型案例