Nuevas vulnerabilidades de DNS permiten el espionaje empresarial a nivel de estado-nación
Investigadores de la firma de seguridad Wiz, han encontrado una nueva clase de vulnerabilidades de DNS que afectan a grandes proveedores de DNS como servicio (DNSaaS) y que podrían permitir a los atacantes acceder a información confidencial de las redes corporativas.
DNS es un importante protocolo de Internet utilizado por computadoras, servicios o cualquier recurso conectado a redes. Tiene varios usos, pero el principal es el de resolver la IP de la página web o servicio que utilicemos, asignando nombres a direcciones IP.
Los servidores DNS son los equipos dedicados a manejar este protocolo. Actúan como medio de intercomunicación entre el usuario y las páginas web que vayamos visitando y cuentan con bases de datos enormes en las que están registradas las relaciones entre dominios y sus respectivas direcciones IP. Empresas como Google ofrecen al consumidor final un servicio público de DNS que se ha convertido en el más usado del mercado.
Hay otras empresas que trabajan en este sector como los proveedores de DNSaaS (también conocidos como proveedores de DNS administrados) que brindan servicios de alquiler de DNS a otras organizaciones que no desean administrar y asegurar otros activos de red por su cuenta.
Un grupo de investigadores ha revelado en la conferencia de seguridad Black Hat una serie de vulnerabilidades de DNS que potencialmente permitirían a los atacantes capacidades de recolección de inteligencia de estado-nación con un simple registro de dominio.
Nuevas vulnerabilidades de DNS
El proceso de explotación es bastante simple, como explicaron los investigadores: registraron un dominio y lo usaron para secuestrar el servidor de nombres de un proveedor de DNSaaS (en su caso, Amazon Route 53), lo que les permitió realizar escuchas telefónicas en el tráfico de DNS dinámico que fluye desde las redes de los clientes de ese proveedor.
«Encontramos una laguna simple que nos permitió interceptar una parte del tráfico DNS dinámico mundial que pasa por proveedores de DNS administrados como Amazon y Google», dijeron los investigadores de Wiz. «El tráfico de DNS dinámico que interceptamos provino de más de 15.000 organizaciones, incluidas empresas del Fortune 500, 45 agencias gubernamentales de EE. UU. y 85 agencias gubernamentales internacionales».
Los datos que recopilaron de esta manera variaron desde nombres y ubicaciones de empleados / computadoras hasta detalles altamente confidenciales sobre la infraestructura de las organizaciones, incluidos los dispositivos de red expuestos a Internet. En uno de los casos, los investigadores mapearon las ubicaciones de las oficinas de una de las empresas de servicios más grandes del mundo utilizando el tráfico de red recibido de 40.000 terminales corporativos.
La información recopilada de esta manera facilitaría mucho el trabajo de los ciberdelincuentes para violar la red de una organización. «El impacto es enorme. De los seis principales proveedores de DNSaaS que examinamos, tres eran vulnerables al registro del servidor de nombres«.
«Cualquier proveedor de nube, registrador de dominios y host de sitios web que proporcione DNSaaS podría ser vulnerable», aseguran. Si bien dos de los principales proveedores de DNS (Google y Amazon) ya han solucionado estos fallos, es probable que otros sigan siendo vulnerables, exponiendo millones de dispositivos a ataques.
Información adicional y los detalles técnicos están disponibles en el informe publicado por Wiz, mientras que las diapositivas de presentación en el Black Hat se pueden ver en este enlace.
La entrada Nuevas vulnerabilidades de DNS permiten el espionaje empresarial a nivel de estado-nación es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico