Önbellek zehirlenmesi tehdidine karşı sahte parola sıfırlamaya maruz kalan WordPress kurulumları
Güvenlik araştırmacıları, gizli DNS (etki alanı adı sistemi) çözümleyicilerinin e-posta yeniden yönlendirme ve hesap ele geçirme saldırılarını gerçekleştirmek için bir araç oluşturduğu konusunda uyarıyor.
SEC Consult, teknik bir blog gönderisinde, ilk kez ünlü ağ güvenliği araştırmacısı Dan Kaminsky tarafından ortaya çıkarılan bir çeşit önbellek zehirlenmesi saldırılarını (PDF) kullanarak bu sözde kapalı DNS çözümleyicilerinin DNS ad çözümlemesini nasıl manipüle etmenin mümkün olduğunu açıklıyor. 2008 yılında.
Kaostan önbellek
SEC Consult tarafından yapılan önceki araştırma, bir saldırganın DNS ad çözümlemesini manipüle ederek web uygulamalarının kullanıcı hesaplarını ele geçirmesinin nasıl mümkün olduğunu göstermişti.
Kapalı DNS çözümleyicileri, çok sayıda barındırma sağlayıcısı ve diğer internet servis sağlayıcıları (ISS’ler) tarafından müşterilerine hizmet sağlamak için kullanılır. Adından da anlaşılacağı gibi, kapalı DNS çözümleyicileri kapalı ağlarda veya intranetlerde bulunur.
Bununla birlikte, ‘kapalı’, SEC Consult’un araştırması bağlamında biraz yanlış bir adlandırmadır, çünkü araştırmacılar, harici aktörlerin kapalı çözümleyicilere kolayca saldırmak için web uygulamalarının işlevlerini kötüye kullanmanın nasıl mümkün olabileceğini göstermiştir.
Kapalı DNS çözümleyicilerinin açık internetteki spam koruma mekanizmalarıyla nasıl etkileşime girdiğinden yararlanarak saldırı keşfinin mümkün olduğunu buldular.
Bu, bir saldırganın, kaynak bağlantı noktası rastgeleleştirme, DNSSEC, IP parçalanması gibi DNS güvenlik özelliklerini ve daha basit olarak kayıt, parola sıfırlama ve kapalı çözümleyicilere dayanan web uygulamalarının haber bülteni işlevlerini kullanarak anlamasına yardımcı olabilir.
Web’i taramak
SEC Consult, güvenlik açıklarını belirlemek amacıyla hedeflenen sistemlerden gelen DNS trafiğini analiz etmek için iki açık kaynak aracı – DNS Sıfırlama Denetleyicisi ve DNS Analiz Sunucusu – kullandı.
Pratik açıdan, bu saldırı keşif çalışması, bazı iyi bilinen etki alanlarına e-posta göndermeyi ve analiz alanını gönderen etki alanı olarak belirlemeyi içeriyordu. Bu, araştırmacıların, onları Kaminsky tarzı saldırılara karşı savunmasız bırakan bir güvenlik gözetimi olan statik kaynak bağlantı noktalarını kullanan binlerce sistemi tanımlamasına izin verdi.
SEC Consult, “Yaklaşık 50 bin alana e-posta gönderdikten sonra, bunların yaklaşık 7.000’inin DNS verilerini aldık ve analiz ettik” diye açıklıyor. “Bu 7.000 alan arasında en az 25’i statik kaynak bağlantı noktaları kullanıyordu. Tavşan deliğinden tekrar aşağı inerek, statik kaynak portlarını kullanan binlerce alan daha keşfedildi.”
SEC Consult, DNSSEC gibi ek güvenlik özelliklerini kullanmadığını veya uygulamadığını keşfetti.
Etkilenen hizmetler, hem küçük hem de büyük işletmeler tarafından işletilen alanların ve devlet hizmetleri ve siyasi kampanyalar sunan sitelerin arkasında çalışıyordu.
DNS Güvenliği ile ilgili en son haberleri ve analizleri yakalayın
DNS önbellek zehirlenmesi güvensizlikleri, kayıtları manipüle etmek ve e-postaları yeniden yönlendirmek için kötüye kullanılabilir – bir saldırganın diğerlerinin yanı sıra WordPress ve Joomla kurulumlarının parola sıfırlama işlevlerini kötüye kullanmasına izin verecek bir güvenlik eksikliği.
SEC Consult, saldırı tekniğinin tamamen yamalı bir WordPress kurulumunu bile ele geçirmek için kullanılabileceğini gösterdi.
Infosec firması, WordPress sistemlerine saldırmak için geliştirdiği açıklardan yararlanma kodunu, sorunun farkındalığının düşük olduğu ve bunun da birçok web tabanlı sistemi kapalı DNS çözümleyicileri aracılığıyla saldırıya açık hale getireceği endişeleri nedeniyle, herkese açık olarak yayınlamaktan vazgeçti.
SEC danışması, geçtiğimiz hafta bulgularıyla halka açılmadan önceki aylarda ISS’ler, barındırma sağlayıcıları ve bilgisayar acil durum müdahale ekipleri (CERT’ler) ile konuştu.
önbelleğe alma
Bağımsız DNS güvenlik uzmanları, araştırmanın geçerli bir endişeyi vurguladığını söyledi.
Infoblox’un baş DNS mimarı Cricket Liu, şunları söyledi: Günlük Swig: “Bunun özellikle yeni olduğunu düşünmüyorum – Kaminsky güvenlik açığının en parlak günlerinde bu tür şeylerden bahsetmiştik – ama önemli çünkü hala kaynak bağlantı noktası rastgeleleştirmeyi kullanmayan bazı DNS sunucuları var.”
Egzotik saldırılar içeren
SEC Consult’a göre, eski Kaminsky saldırıları kesinlikle ‘bir sonraki büyük şey’ olmasa da, konuyu modası geçmiş olarak reddetmek akıllıca olmaz.
SEC Consult’da güvenlik danışmanı olan Timo Longin şunları söyledi: Günlük Swig: “DNS, bilgi güvenliği topluluğunun dikkatine sunulması gereken çok egzotik ve bilinmeyen saldırı vektörleri sağlıyor! Örneğin, sağlayıcıların kontrol paneli aracılığıyla kullanıcıları parola sıfırlama ile ele geçirerek barındırılan tüm sunucuları tehlikeye atmanın potansiyel olarak mümkün olabileceği bazı barındırma sağlayıcıları bulduk”.
Sistemleri korumak için, güvenlik açığı bulunan DNS çözümleyicilerine yama uygulanmalı ve güvenli bir şekilde yapılandırılmalıdır. Kendi DNS çözümleyicilerinizi güvence altına almak için bazı en iyi uygulamalar Google’da ve DNS bayrak gününde bulunabilir. Alternatif olarak Google, Cloudflare veya Cisco gibi büyük genel DNS sağlayıcıları da kullanılabilir.
SEC Consult’a göre, yeni DNS saldırılarına karşı önlemler genellikle bu büyük sağlayıcılar tarafından hızlı bir şekilde uygulanmaktadır.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Kod olarak politika yaklaşımı, “bulutta yerel” güvenlik risklerine karşı koyar