研究發現，亞馬遜、谷歌等多款DNS托管服務存在問題，攻擊者可以劫持平臺解析節點，攔截部分傳入的DNS流量，并據此映射出企業的內部網絡；

　　這次事件再次引發擔憂，持續收集敏感信息的托管DNS平臺，很可能成為惡意人士理想的網絡間諜與情報數據收集目標。

　　在日前召開的美國黑帽安全大會（Black Hat USA 2021）上，云安全廠商Wiz公司兩位安全研究員Shir Tamari與Ami Luttwak披露一項影響托管DNS服務商的新問題。利用這個bug，攻擊者可以劫持平臺節點、攔截部分傳入的DNS流量并據此映射客戶的內部網絡。

　　這項漏洞也讓人們再次意識到，持續收集敏感信息的托管DNS平臺，很可能成為惡意人士理想的網絡間諜與情報數據收集目標。

　　漏洞原理

　　如今，不少DNS即服務供應商會將DNS服務器出租給企業客戶。雖然運行自有DNS名稱服務器難度不算高，但為了擺脫DNS服務器基礎設施管理負擔、享受更穩定的運行時間與一流服務安全保障，很多企業還是更傾向于選擇AWS Route53、Google Cloud Platform等托管服務。要登錄至托管DNS服務商，企業客戶一般需要在服務商處注冊自己的內部域名。最常見的方式就是前身后端門戶，并將company.com及其他域名添加至服務商指定的名稱服務器之一（例如ns-1611.awsdns-09.co.uk）。在完成此項操作之后，當企業員工需要接入互聯網應用程序或網站時，他們的計算機就會查詢第三方DNS服務器，以獲取連接目標的IP地址。Wiz團隊發現，某些托管DNS服務商并沒有將后端中的DNS服務器列入黑名單。在上周的一次采訪中，Wiz研究人員表示他們已經確認可以在后端添加托管DNS服務商自身的名稱服務器（例如ns-1611.awsdns-09.co.uk），并將其指向自己的內部網絡。如此一來，Wiz團隊就能順利劫持被發送至托管DNS服務商服務器處的DNS流量。但從實際測試來看，Wiz團隊并沒有收到經由該服務器的所有DNS流量，只是收到了大量動態DNS更新。所謂動態DNS更新，是指工作站在內網中的IP地址或其他詳細信息發生變更時，被發送至DNS服務器的特殊DNS消息。

　　Wiz團隊強調，雖然無法嗅探目標企業的實時DNS流量，但動態DNS更新已經足以繪制使用同一托管DNS服務器的其他企業的內網結構圖。

　　一座“大寶藏”

　　這些數據看似人畜無害，實際卻并非如此。Tamari與Luttwak表示，在進行測試的14個小時當中，他們成功從15000多個組織處收集到動態DNS更新，其中涉及130多家政府機構與不少財富五百強企業。這部分泄露數據包括各系統的內部與外部IP地址、計算機名稱，在某些極端情況下甚至涉及員工姓名。兩位研究員將收集到的數據形容為一座情報“大寶藏”。他們還在采訪中強調，這類數據有著廣泛的用途，包括確定高價值企業的內部結構、識別域控制器，而后以遠超傳統隨機發送垃圾郵件的高針對性精準攻擊向目標發起沖擊。例如，研究團隊能夠確定哪些企業系統正在運行受NAT保護的IPv4地址，哪些系統運行的是IPv6地址——由于IPv6的天然特性，這些系統會始終在線并持續暴露在攻擊視野之下。除了網絡安全之外，這些數據還有其他用途。情報機構可以利用這部分數據將各企業與政府機構交叉關聯起來，快速找到對應的政府承包商。此外，Wiz團隊表示在將收集到的數據繪制在地圖上之后，還可以用于識別違反美國外國資產控制辦公室（OFAC）規定，在伊朗及科特迪瓦等受制裁國家開展業務的企業。

　　亞馬遜與谷歌迅速發布更新

　　Wiz團隊提到，他們發現有三家DNS即服務供應商容易受到這個問題的影響。其中的亞馬遜與谷歌快速行動，已經發布了相應更新，第三家服務商也正在著手修復。在本周的郵件采訪中，亞馬遜與谷歌發言人回應稱，已經修復了Wiz發現的攻擊薄弱點，現在企業客戶已無法在后端上注冊服務商自己的域名。我們還詢問兩家企業是否進行過回溯調查，明確客戶之前是否曾借此收集其他企業的數據。亞馬遜發言人沒有做出回應，但谷歌表示并未發現“平臺上有任何惡意濫用的證據”。此外，Wiz團隊還懷疑另有十余家DNS即服務供應商也有可能受到類似攻擊的影響。但他們也提到，這里的問題絕不僅僅是服務商忘記在后端注冊系統中將自己的DNS服務器列入黑名單那么簡單。首先，為什么動態DNS更新會首先到達互聯網？為什么這部分更新信息沒有被限定在本地網絡之內？研究人員們也提出了自己的假設，即微軟Windows服務器中的一個默認選項，允許此類DNS流量通過本地網絡傳輸至互聯網，這可能才是造成問題的元兇。

　　在就此事向微軟方面求證時，微軟發言人建議企業客戶按照以下指南操作，防止動態DNS更新接觸公共互聯網：

　　關于啟用安全Windows Server DNS更新的指南

　　https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003

　　其他網絡安全最佳實踐信息

　　https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx#Using_a_single_namespace_for_internal_an