Прокси сървърите и VPN мрежите попадат под прицела на невидими

Прокси сървърите и VPN мрежите попадат под прицела на невидими цифрови сили.

Експерти от Assetnote неотдавна откриха голям проблем с подправянето на DNS поръчките в китайската интернет инфраструктура. При разбор на DNS резолверите на клиент с огромно наличие в Китай те откриха извънредно държание – голям брой поддомейни, които водеха до случайни IP адреси.

Първоначално за аномалията бяха упрекнати погрешно работещите DNS сървъри. Имаше съмнения, че подмяната на поръчките е обвързвана с неустойчивостта на DNS резолверите или с особеностите на логаритмите за балансиране на натоварването. По-късно обаче се оказа, че казусът е зародил извънредно при сървъри, ситуирани в Китай.

Макар че в началото подмяната се наблюдаваше единствено при домейни „.cn “, скоро стана ясно, че са наранени и други зони, в случай че имената им се позволяват посредством китайски DNS сървъри. Изследователите откриха, че поръчките към някои основни поддомейни провокират непредвидени DNS отговори. Така да вземем за пример DNS поръчките към сървърите AlibabaDNS постоянно връщат нестабилни IP адреси, а самите отговори варират според от основните думи в поддомейните. Дори при разрешаването на несъществуващи домейни могат да се получат непредвидени DNS отговори.

С течение на времето бе открито, че казусът не се лимитира единствено до един DNS снабдител. Подправяне на DNS поръчките беше намерено и на сървърите на други снабдители, като да вземем за пример Cloudflare China. Това подсказва, че казусът е систематичен и е обвързван с метода, по който работи DNS в границите на Великата китайска защитна стена.

След това откривателите откриха няколко метода за потребление на тази „ функционалност “ за злонамерени цели. Първият метод е обвързван с доставчика CDN Fastly. Ако бъдат открити подправени IP адреси, които принадлежат към инфраструктурата на Fastly, нападателите могат да прихванат трафика, като основат CDN профили, употребявайки подправени поддомейни. Това дава опция целият трафик да бъде ориентиран към сървърите на нападателя.

Вторият способ включва накърнимост в cPanel, която разрешава XSS офанзиви против подправени поддомейни. Този метод също по този начин евентуално разрешава да се употребява замяна на DNS за офанзива на крайните консуматори.

Възможността за прихващане на трафика и осъществяване на XSS офанзиви посредством замяна на DNS има съществени последствия. По-конкретно тя разрешава на нападателите да получат достъп до HTTPOnly бисквитки и други чувствителни данни. Рискът от реализиране на офанзива посредством Fastly обаче зависи от това дали домейнът към този момент е бил прибавен към инфраструктурата на Fastly. В същото време XSS офанзивите, основани на cPanel, са по-универсални, макар че не разрешават достъп до HTTPOnly бисквитки.

Изследователите допускат, че засеченото от тях държание е обвързвано с опитите за цензура от страна на китайското държавно управление. Заместването на DNS може да е част от „ Великата китайска защитна стена “, която следи и блокира поръчките към избрани запаси, свързани с прокси сървъри, VPN мрежи, торенти и друго неразрешено наличие.

За да се сведат до най-малко рисковете, специалистите предлагат на организациите да реалокират своите DNS сървъри отвън Китай. Това обаче може да се отрази на продуктивността и скоростта на уеб уеб страниците за китайските консуматори. Освен това фирмите би трябвало да обезпечат съществена уеб сигурност, като да вземем за пример да зададат знамена „ Secure “ и „ HTTPOnly “ за бисквитките, с цел да предотвратят възможни офанзиви против потребителите.