Posté le août 8, 2021 à 18:16
DES CHERCHEURS DÉCOUVRENT UN NOUVEL ÉVENTAIL DE BUGS AYANT UN IMPACT SUR LES DNS-AS-A-SERVICE
Une nouvelle classe de vulnérabilités DNS ayant un impact sur les principaux fournisseurs de DNS-as-a-Service (DNSaaS) a été découverte. Ce bug pourrait permettre aux acteurs malveillants d’accéder à des informations sensibles sur les réseaux d’entreprise. Selon les rapports sur la vulnérabilité, elle pourrait également donner aux hackers la possibilité de lancer des opérations d’espionnage entre États.
Les hackers peuvent utiliser un seul enregistrement de domaine pour obtenir des capacités de collecte de renseignements.
« Nous avons trouvé une simple faille qui nous a permis d’intercepter une partie du trafic DNS dynamique mondial », expliquent les chercheurs.
Selon le rapport, le trafic DNS dynamique intercepté provenait de plus de 15 000 organisations, dont 85 agences gouvernementales internationales, 45 agences gouvernementales américaines et des entreprises figurant au palmarès Fortune 500.
Certains fournisseurs ont été affectés
Selon les spécialistes de la cybersécurité qui ont découvert les vulnérabilités, trois fournisseurs de services en nuage populaires ont également été touchés et il est fort probable que d’autres le seront.
Les chercheurs de Wiz Researchers, Ami Luttwak et Shir Tamari, ont déclaré que les données divulguées comprennent des tickets NTLM / Kerberos, des noms d’ordinateurs d’employés et des adresses IP internes/externes.
L’adresse IP interne peut révéler l’emplacement géographique des organisations, tandis que le nom de leurs ordinateurs peut indiquer le contenu potentiel qu’ils peuvent détenir. D’autre part, les adresses IP externes peuvent relier les segments de réseau de l’organisation.
Le DNS-as-a-Service (DNSaas) offre des services de location de DNS aux entreprises qui ne souhaitent pas assumer la responsabilité d’un actif réseau supplémentaire.
Les deux experts en sécurité ont expliqué comment il est possible d’exploiter les vulnérabilités découvertes. Selon les chercheurs, un domaine a été enregistré et utilisé pour contrôler le serveur de noms d’un fournisseur de DNSaaS comme Amazon Route 53. Par conséquent, les hackers ont pu utiliser un dispositif d’écoute pour surveiller le trafic DNS dynamique.
La principale cause du problème est la mise en œuvre non standard des résolveurs DNS. Ils peuvent entraîner une importante fuite d’informations lorsqu’ils sont connectés à des cas limites involontaires. Selon les chercheurs, cela peut entraîner des fuites massives à partir des réseaux internes des entreprises, comme l’ont observé les experts en recherche.
Il n’y a pas de preuve que les failles ont été exploitées
Les chercheurs ont admis que tout hacker compétent disposant des bons outils peut facilement exploiter la vulnérabilité. Cependant, ils ont admis qu’il n’est pas clair si un acteur malveillant a exploité l’une des failles. Les chercheurs ont noté qu’ils n’ont pas vu de vulnérabilité exploitée sur les serveurs DNS dans la nature.
Les chercheurs ont déclaré que l’impact de cette vulnérabilité, une fois exploitée, pourrait être massif. Ils ont examiné six des principaux fournisseurs de DNSaaS, mais trois d’entre eux étaient sensibles à l’enregistrement des serveurs de noms. Selon les chercheurs, tout hébergeur de sites Web, registraire de domaines ou fournisseur de services cloud qui offre des services DNSaaS pourrait être vulnérable.
Les fournisseurs sont invités à agir rapidement
Les fournisseurs de services DNS ont été invités à s’occuper de la situation des vulnérabilités DNS, car beaucoup d’entre eux n’ont pas encore agi. Selon les chercheurs, le fait que plusieurs appareils soient encore vulnérables à ce type d’attaques est très préoccupant. Toutefois, les principaux fournisseurs comme Google et Amazon s’attaquent désormais à la situation.
Les chercheurs ont conseillé aux autres fournisseurs de suivre la même voie et d’améliorer leur infrastructure de sécurité. Ils leur demandent de mettre à jour leurs serveurs avec une infrastructure de sécurité de pointe qui résistera à toute exploitation par les acteurs malveillants.
Prévention des problèmes de réseau
Microsoft, de son côté, a répondu aux chercheurs de Wiz que la vulnérabilité n’est pas un véritable bug. Le géant de la technologie a déclaré que de telles vulnérabilités se produisent en raison de la collaboration entre une entreprise et des services DNS externes.
Les chercheurs ont demandé aux utilisateurs de DNS d’éviter les problèmes de réseau en utilisant des zones et des noms DNS différents pour les hôtes externes et internes. Microsoft a également fourni un lien où les fournisseurs de DNS peuvent trouver des informations supplémentaires et un guide pour protéger leurs serveurs contre l’exploitation.
Lors du sommet Black Hat de cette année à Las Vegas, des chercheurs en sécurité ont prouvé que Microsoft Windows peut révéler certaines informations sensibles concernant les clients lors des requêtes de mise à jour DNS.
Ils ont également révélé le danger que représente le fait que les mises à jour DNS soient exposées à une tierce partie malveillante. Elles peuvent révéler des informations importantes du réseau de l’organisation qu’elles peuvent utiliser.