DNS-аномалии: почему не стоит размещать свою веб-инфраструктуру в Китае

Специалисты из компания Assetnote недавно выявили масштабную проблему подмены DNS-запросов в китайской интернет-инфраструктуре. При анализе DNS-резолверов одного из клиентов с большим присутствием в Китае было обнаружено необычное поведение — множество поддоменов, которые вели на случайные IP-адреса.

Первоначально аномалию списывали на неработоспособность DNS-серверов. Подозревалось, что подмена запросов связана с нестабильностью DNS- резолверов или особенностями алгоритмов балансировки нагрузки. Однако позже выяснилось, что проблема возникает исключительно на серверах, расположенных в Китае.

В то время как изначально подмена наблюдалась только на доменах «.cn», вскоре стало понятно, что она затрагивает и другие зоны, если их имена разрешаются через китайские DNS-серверы. Исследователи обнаружили, что запросы к некоторым ключевым поддоменам провоцируют неожиданные DNS-ответы. Например, DNS-запросы к серверам AlibabaDNS часто возвращали нестабильные IP-адреса, а сами ответы менялись в зависимости от ключевых слов в поддоменах. Даже при разрешении несуществующих доменов можно было получить неожиданные DNS-ответы.

С течением времени было установлено, что проблема не ограничивается одним DNS-провайдером. Подмена DNS-запросов обнаруживалась и на серверах других провайдеров, например, Cloudflare China. Это свидетельствует о том, что проблема носит системный характер и связана с особенностями работы DNS в пределах «Великого китайского файрвола».

Затем исследователи обнаружили несколько способов использовать данную «особенность» в злонамеренных целях. Первый способ касается CDN-провайдера Fastly. В случае обнаружения подменённых IP-адресов, которые относятся к инфраструктуре Fastly, злоумышленники могут перехватывать трафик, создавая профили CDN с использованием поддельных поддоменов. Это позволяет направлять весь трафик на серверы злоумышленника.

Второй способ связан с уязвимостью в cPanel, которая позволяет выполнять XSS-атаки на подменённые поддомены. Такой подход также позволяет потенциально эксплуатировать DNS-подмену для атак на конечных пользователей.

Возможность перехвата трафика и выполнения XSS-атак через DNS-подмену имеет серьёзные последствия. В частности, это позволяет злоумышленникам получать доступ к HTTPOnly cookie-файлам и другим конфиденциальным данным. Однако риск реализации атаки через Fastly зависит от того, добавлен ли уже домен в инфраструктуру Fastly. В то же время XSS-атаки на основе cPanel являются более универсальными, хотя и не дают доступа к HTTPOnly cookie.

Исследователи предполагают, что обнаруженное поведение связано с попытками цензуры со стороны китайского правительства. DNS-подмены могут быть частью «Великого китайского файрвола», который отслеживает и блокирует запросы к определённым ресурсам, связанным с прокси-серверами, VPN, торрентами и другим запрещённым контентом.

Для минимизации рисков эксперты рекомендуют организациям перенести DNS-серверы за пределы Китая. Однако это может повлиять на производительность и скорость работы сайтов для китайских пользователей. Кроме того, компаниям следует обеспечить базовую веб-безопасность, например, установить флаги «Secure» и «HTTPOnly» для cookie-файлов, чтобы предотвратить возможные атаки на пользователей.