นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญออกจากระบบภายในได้ ซึ่งส่งผลกระทบกับผู้ให้บริการ DNS-as-a-Service (DNSaaS)

Shir Tamari และ Ami Luttwak นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz ประกาศค้นพบช่องโหว่ง่ายๆ ที่อนุญาตให้ผู้โจมตีสามารถดักจับส่วนหนึ่งของการรับส่งข้อมูลบน DNS แบบไดนามิกจากการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมด ที่ถูกกำหนดเส้นทางผ่านผู้ให้บริการ DNS เช่น Amazon และ Google หากโจมตีสำเร็จผู้โจมตีจะสามารถเข้าถึงข้อมูล และสามารถขโมยข้อมูลสำคัญออกจากระบบได้

ช่องโหว่ดังกล่าวเกิดจากการจัดการลงทะเบียนโดเมนบน Google Cloud DNS หรือ Amazon Route53 ที่ทำการกำหนดชื่อตรงกับชื่อของเซิร์ฟเวอร์ DNS ดังนั้นหากองค์กรมีการกำหนดโดเมนใหม่บนแพลตฟอร์ม Route53 ภายในเซิร์ฟเวอร์ AWS และชี้โฮสต์ไปยังเครือข่ายภายใน จะทำให้การรับส่งข้อมูล DNS แบบไดนามิกจากปลายทางของลูกค้า Route53 ถูกทำการ hijacked และส่งไปยังเซิร์ฟเวอร์ DNS อื่นหรือผู้โจมตีโดยตรงหากมีการลงทะเบียนชื่อ DNS ตรงกัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz กล่าวว่าพวกเขาสามารถดักการรับส่งข้อมูล DNS แบบไดนามิกจากองค์กรได้กว่า 15,000 แห่ง รวมถึง Fortune 500, หน่วยงานรัฐบาลของสหรัฐอเมริกา 45 แห่ง และหน่วยงานรัฐบาลระหว่างประเทศ 85 แห่ง โดยข้อมูลส่วนใหญ่เป็นข้อมูลที่สำคัญ อาทิ IP Address ภายใน, ชื่อเครื่องคอมพิวเตอร์, รายชื่อพนักงาน และที่อยู่ของบริษัท

เบื้องต้นทาง Amazon และ Google ได้ทำการแก้ไขปัญหาดังกล่าวแล้ว และทีมวิจัยของ Wiz ได้ทำการพัฒนาเครื่องมือเพื่อให้บริษัทต่างๆ ทดสอบว่าการอัปเดต DDNS ภายในรั่วไหลไปยังผู้ให้บริการ DNS หรือผู้โจมตีหรือไม่อีกด้วย

ที่มา : thehackernews.

วิเคราะห์การโจมตี
การโจมตีในครั้งนี้นั้นอาศัยเทคนิคซึ่งมีชื่อเรียกว่า BGP hijacking ซึ่งหมายถึงการลักลอบเปลี่ยนเส้นทางการส่งข้อมูลในอินเตอร์เน็ตด้วยการประกาศเส้นทางใหม่ออกมา

อ้างอิงจากการทำงานโดยทั่วไปของระบบอินเตอร์เน็ต การที่เว็บไซต์หรือแหล่งข้อมูลจากเชื่อมต่อหากันได้นั้นจะต้องรู้ที่อยู่และเส้นทางที่จะไปมาหาสู่กัน ที่อยู่สำหรับเรียกหาเว็บไซต์หรือแหล่งข้อมูลอื่นๆ นั้นถูกบันทึกและจัดการในรูปแบบต่างๆ ด้วยระบบ Domain Name System (DNS) ส่วนการเชื่อมต่อหากัน (routing) ถูกดำเนินการด้วยการใช้โปรโตคอลสำหรับกำหนดเส้นทาง เช่น BGP อุปกรณ์ซึ่งทำหน้าที่เป็นตัวกลางระหว่างเว็บไซต์หรือแหล่งข้อมูลนั้นจะมีการรับส่งข้อมูลอ้างอิงจากโปรโตคอล BGP ระหว่างกันเพื่อให้สุดท้ายแล้วอุปกรณ์ตัวกลางที่เชื่อมต่อกันจนเกิดเป็นอินเตอร์เน็ตทราบเส้นทางที่จะไปหาเว็บไซต์หรือแหล่งข้อมูลซึ่งที่ปลายทาง

เมื่อการแลกเปลี่ยนเส้นทางการเชื่อมต่อและระบบสำหรับอ้างอิงชื่อทำงานประสานกัน การทำงานจะปรากฎตามรูปที่ 1 กล่าวคือ เมื่อผู้ใช้มีการพยายามเข้าถึงแหล่งข้อมูลด้วยการระบุชื่อโดเมนเนม ชื่อโดเมนเนมดังกล่าวจะถูกนำไปค้นหมายเลขไอพีแอดเดรสซึ่งถูกจัดการด้วยระบบ DNS เมื่อเซิร์ฟเวอร์ DNS ได้ทำการค้นหาหมายเลขไอพีแอดเดรสซึ่งเป็นของโดเมนเนมที่ผู้ใช้งานต้องการจะเข้าถึงแล้ว เซิร์ฟเวอร์ DNS ก็จะมีการตอบข้อมูลหมายเลขไอพีแอดเดรสกลับไปเพื่อให้ผู้ใช้งานสามารถใช้หมายเลขไอพีแอดเดรสดังกล่าวในการเข้าถึงแหล่งข้อมูลที่ผู้ใช้งานต้องการเข้าถึงได้

อย่างไรก็ตามหากมีการพยายามเปลี่ยนแปลงเส้นทางขึ้นด้วยจุดประสงค์ที่มุ่งร้าย ผลลัพธ์จะเกิดขึ้นตามรูปที่ 2

แม้ว่าสิทธิ์ในการกำหนดเส้นทางการรับส่งข้อมูลบนอินเตอร์เน็ตนั้นจะถูกจำกัดให้กับผู้ให้บริการเพียงบางรายเพื่อป้องกันไม่ให้มีการประกาศเส้นทางที่ไม่ถูกต้อง ผู้ประสงค์ร้ายก็ยังคงมีวิธีการบางอย่างที่จะเลียนแบบหน้าที่ของผู้ให้บริการในการ "ประกาศเส้นทางใหม่" ​ได้ สำหรับในกรณีของการโจมตีเพื่อขโมยสกุลเงินดิจิตอลนั้น ผู้ประสงค์ร้ายได้ทำการประกาศเส้นทางการส่งข้อมูลใหม่ทางโปรโตคอล BGP เพื่อหลอกล่อให้ผู้ใช้งานเชื่อมต่อไปยังเซิร์ฟเวอร์ DNS ที่ผู้ประสงค์ร้ายควบคุมอยู่ ทำให้ทันทีที่ผู้ใช้งานทำการเชื่อมต่อไปยังโดเมนเนมของเว็บไซต์ที่ต้องการ ข้อมูลหมายเลขไอพีแอดเดรสที่ได้รับจึงเป็นหมายเลขไอพีแอดเดรสที่ผู้ประสงค์ร้ายต้องการให้ผู้ใช้งานเข้าถึง โดยในตัวอย่างนี้คือหน้าเว็บไซต์ปลอมของบริการ myetherwallet.