Tarayıcı şirketleri ve ağ güvenliği satıcıları, DNS yeniden bağlama olarak bilinen otuz yıllık saldırı tekniği için çeşitli savunmalar oluşturdu, ancak eşit olmayan kabul ve güncellenmiş istismar teknikleri, koruma yetersiz kalıyor.
Şüphelenmeyen bir kurbanın ziyaret ettiği kötü amaçlı harici sitelerin dahili sunuculara ve hizmetlere erişmesine izin veren DNS yeniden bağlama, bir saldırganın başka bir siteden veya ağdan kaynak istemek için bir JavaScript bileşeni veya Java uygulaması kullanabileceği siteler arası istek sahteciliğine benzer. DNS yeniden bağlama, genellikle bir kullanıcıyı kötü amaçlı bir web sitesine çekerek ve sitenin içeriğini ve kısa bir yaşam süresini (TTL) kullanarak tarayıcıyı yeni bir alan adı sistemi (DNS) isteği göndermeye zorlayarak çalışır. site, dahili bir ağ IP adresiyle yanıt verir. Saldırı, esasen bir saldırganın kurbanın tarayıcısını kullanarak dahili ağdaki sunuculara ve cihazlara istek göndermesine izin verir.
Bununla birlikte, saldırının yürütülmesi, tarayıcıda alan adını sabitleyerek Aynı Kaynak Politikasını uygulamak, hedeflenen kullanıcının DNS hizmeti aracılığıyla anormal istekleri aramak ve Yerel Ağ Erişimini benimsemek gibi çeşitli savunmalarla daha zor hale getirilebilir. önerilen bir web güvenlik standardı. NCC Group’un yakın tarihli bir raporunda, bu savunmalar DNS yeniden bağlama saldırılarını daha zor hale getirmek için çalışsa da, bazı durumlarda atlanabileceklerini söyledi.
DNS yeniden bağlama, dahili web uygulamalarının saldırı yüzeylerini kötü amaçlı web sitelerine maruz bıraktığından, saldırı, kimlik bilgileri verilerine ve dahili ağlarda barındırılan kaynaklara erişmenin bir yolu olarak kurumsal hedeflere karşı yararlı olabilir, diyor ağ güvenliği baş araştırmacısı Zhanhao Chen. Palo Alto Ağları.
“Gerçek dünyada, saldırgan DNS yeniden bağlama komut dosyasıyla bir web sitesi oluşturabilir ve kurbanı tarayıcısında açması için kandırabilir” diyor. “Kötü amaçlı web sitesi bir çalışanın tarayıcısında açıldığında, saldırgan güvenlik açığı bulunan dahili Web uygulamalarından bilgileri manipüle edebilir veya bunlardan bilgi çalabilir.”
DNS Yeniden Birleştirme Saldırıları Zor Savunmalarla Karşı Karşıya
Her tarayıcı, belirli bir süre, örneğin bir saat boyunca belirli bir web sitesi veya ana bilgisayar adı için yeni ağ adreslerinin atanmasını engelleyen bir tür DNS sabitlemesi yapar. Cisco’nun Umbrella’sı gibi DNS tabanlı güvenlik hizmetleri, olası saldırıları belirleyen ve onları durduran şüpheli yanıt filtreleri kullanarak DNS verilerindeki anormal değişiklikleri de önler.
World Wide Web Konsorsiyumu (W3C), DNS tabanlı saldırıları engelleyen Yerel Ağ Erişimi adlı bir güvenlik özelliği taslağı da oluşturmuştur. Daha önce “Özel Ağ Erişimi” olarak adlandırılan yaklaşım, yerel ana bilgisayarın geri döngü adresi gibi küresel, yerel ve dahili adresler arasına engeller koyar ve hizmetleri yerel ağa açıkça erişim izni almaya zorlar.
Ancak NCC Group tarafından yayınlanan son analizde, NCC Group’ta teknik direktör olan Roger Meyer, savunmaların hala tamamlanmadığını savunuyor. Meyer, örneğin Linux ve Mac OS sistemlerinin dahili IP adresine erişebilen 0.0.0.0 adresini kullanmanın mevcut Yerel Ağ Erişimi korumalarını atladığını söylüyor.
“Genellikle, bu belirli 0.0.0.0 IP adresi yönlendirilemez ve bir IP adresi olarak çalışmamalıdır – hiçbir şeye erişmek için bile kullanamazsınız, ancak yalnızca Mac OS ve Linux cihazlarda çalışır” diyor. .
Meyer, NCC Group’un Chromium kod tabanındaki sorunu düzeltmek için Yerel Ağ Erişimi spesifikasyonunu ilk benimseyenlerden biri olan Google ile bir hata raporu açtığını söylüyor.
Destekleyici Savunmalar
DNS yeniden bağlama saldırıları genellikle vahşi ortamda görülmez, bu da tarayıcı üreticilerinin sorunu hafifletmek için daha yavaş bir yaklaşım benimsemesinin bir nedenidir. Bir diğeri ise, geliştiricilerin kaynaklar arası istekleri işleme yeteneğine güvenebilecekleri dahili uygulamaları bozmak istememeleridir.
Palo Alto Networks’ten Chen, web uygulaması geliştiricilerinin genel bir kural olarak HTTPS şifreli web protokollerini benimsemeleri halinde, uygulamalarının bir DNS yeniden bağlama saldırısında kullanılmasını önleyebileceklerini söylüyor.
“Bu tür azaltma, dahili hizmetlerin geliştiricisine bağlıdır, [so] ölçeklenebilir değil” diyor ve ekliyor: “Üçüncü taraf web uygulamaları hem ev hem de işletme ortamlarında yaygınlaştıkça, ağ sahiplerinin potansiyel olarak savunmasız tüm sunucuları belirleyip düzeltmesi daha zor oluyor.”
DNS yeniden bağlama, DNS tüneli oluşturma, etki alanı oluşturma algoritmaları, DNS amplifikasyonu hizmet reddi saldırıları ve DNS ele geçirme gibi diğer yaygın tehditler kadar yaygın olmasa da, birçok web uygulaması DNS yeniden bağlamaya karşı savunmasız durumda ve saldırganlar bunu aktif olarak kullanıyor. , diyor Chen. Palo Alto Networks, 2021’de yedi DNS bağlamayla ilgili CVE’nin ve 2022’de dokuz CVE’nin piyasaya sürüldüğünü ve şirketin vahşi saldırı trafiğini görmeye devam ettiğini belirtti.
Şirketler, saldırıları algılayan ve uzaktaki çalışanların ev ortamlarını korumalarına yardımcı olan DNS hizmetlerini kullanarak savunmalarını güçlendirmeye yardımcı olabilir. NCC Group’tan Meyer, bir saldırganın ya kurbanın ortamı hakkında bilgi sahibi olması ya da ortak cihaz veya uygulamaları kullandıklarını bilmesi gerektiğinden, bu yaygın hizmetlerin saldırılara karşı güçlendirilmesi gerektiğini söylüyor.
“Ağda veya çalışanların cihazlarında savunmasız hizmetler olup olmadığını keşfetmenin yolları var, böylece şirket bu savunmasız hizmetleri bulmak için ağı tarayabilir” diyor. “Geliştirici makineleri veya diğer çalışanların sistemlerini dinleyen hizmetleri arayabilen izinsiz giriş tespit sistemleri veya başka türde güvenlik yazılımları var ve localhost’ta dinleyen tüm hizmetler potansiyel olarak DNS yeniden bağlamaya karşı savunmasızdır.”