Cloud Strife：減輕域驗證證書的安全風險

文/郭潤

過去的十年間，因用戶可以按需申請資源，AWS和Azure等云平臺被廣泛的用于部署各種云端服務，如Azure月均增加120,000個用戶，AWS已經有1,000,000個活躍用戶。同時，TLS也因為對安全的重視而被廣泛使用，如在HTTPS、HTTP2等中用于提供數據傳輸的加密和認證。因而，為了應對大量SSL證書的申請處理負擔，SSL證書的頒發過程也引入了自動化機制，主要依賴于域名驗證完成對申請者身份的驗證。如，證書頒發機構Let's Encrypt（2016年4月開始提供服務）提供了基于ACME協議（Automatic Certificate Management Environment protocol)的自動化證書申請工具，僅在15個月內就頒發了超過100,000,000個證書[10]。

證書頒發機構在為對應域名頒發證書時，需要驗證證書申請者是否擁有對應域名。現在大部分證書頒發結構CA采取的是基于域名的驗證方法，即證書申請者需要證明其對所申請域名擁有控制權，具體方法有：

（1）DNS記錄驗證，如要求申請者加一條具有指定隨機數的TXT記錄；

（2）郵件驗證，CA向WHOIS記錄中的注冊郵箱或常見的“postamaster”、“sslmaster”等郵箱發送帶token的驗證郵件，要求申請者點擊或回復；

（3）Web認證，要求申請者在該域名下提供HTTP服務，并且在CA指定的URL路徑下部署一個帶有特定token的文件，以供CA進行HTTP訪問驗證。

對于Let's Encrypt來說，為了更快促進TLS的廣泛使用，Let's Encrpyt提供了免費的證書申請服務。同時為了減少證書私鑰泄露或錯誤頒發等危害，Let's Encrpyt頒發的證書只有90天有效期。因而，Let's Encrpyt采用了自動化的基于Web的驗證方式，這迅速增加了互聯網中的SSL證書使用率，并提高了Let's Encrpyt的市場占有率。

安全威脅分析

如前所述，云平臺的彈性資源分配特點被廣泛使用，而CA開始大量采用自動化頒發機制，但這兩者結合卻引入了新的安全威脅。即當陳舊或被遺棄的DNS域名記錄（stale and abandoned DNS entries）指向云端的可分配IP時，攻擊者可以通過從云端申請分配到改IP，完成domain takeover攻擊，并在此基礎上，根據該域名的特點，可以進一步利用該域名的控制權完成：

分發惡意代碼，當第三方從該域名下加載如JS腳本等代碼等，攻擊者可以植入惡意代碼。

申請SSL證書，利用CA基于域名驗證的特點申請證書，從而獲取合法的SSL證書。

控制NS服務器，stale的NS記錄可能導致攻擊者獲取該域名的控制權，如某域名利用多個DNS服務器進行負載均衡或冗余時存在一條stale NS記錄。

當存在stale MX記錄時，攻擊者發送基于該域名的釣魚郵件。

Sub-domain攻擊，除了top-level域名外，subdomain的stale DNS記錄也可以被利用進行攻擊。

本文將這種威脅具體命名為IP user-after-free漏洞，可以看到，此漏洞的關鍵在于存在stale DNS記錄，即域名指向了一個已釋放云端IP，而攻擊者能及時從云平臺申請到該IP地址。因而，Stale DNS記錄的存在時間決定了攻擊的時間窗口，如以下四種stale DNS情況：

（1）Early Migration：域名IP映射已更新指向新的IP地址，然后釋放舊的IP地址。此時，攻擊窗口最小，取決于DNS記錄的cache時間。但實際情況下存在很多DNS服務器并不遵守DNS的TTL時間，因而此情況依然可能被攻擊。

（2）Delayed Migration：新的域名IP映射在等待權威域名服務器進行更新。雖然攻擊時間窗口取決于域名的更新延遲時間，而且在域名更新成功指向新IP后，攻擊者也將不能再domain takeover，但攻擊者依然可以利用申請到的有效SSL證書等進行更長期的中間人等攻擊。

（3）Auxiliary：一個域名擁有多條對應IP映射記錄，同時指向了新、舊IP。攻擊者可以主動DoS，使DNS解析到就已獲取的舊IP，或者利用DNS round-robin特點獲取部分數據流量等。

（4）Abandoned：對應域名已不再使用，但該域名IP映射依然存在。此種情況攻擊者擁有最大的攻擊時間窗口，但訪問該域名的vitim數量一般也很少。

可以看出，不管那種stale DNS記錄情況，都存在被攻擊者利用的可能。當然，在攻擊時間窗口內，攻擊者需要及時從云平臺申請到一個被攻擊目標釋放的IP地址，而這取決于云平臺的IP地址池大小。因此，本文針對Amazon Web Services（ASW）和Microsoft Azure云平臺，詳細測試了IP地址use-after-free的可行性，即針對云平臺的不同部署區域，不斷的循環

申請并釋放IP地址。

在不到兩個月的時間中，通過14,159,705次申請，共分配了1,613,082的不同的IP地址，而所需成本僅$31.06。針對這些地址，作者分析了IP地址被重復分配所需的時間，如圖1的boxplot圖所示（AWS平臺），云平臺的大部分區域只需不到一天的時間就會發生地址被重復分配的現象。

圖1 再次分配相同IP地址所需時間

同時，圖2以周為單位顯示了申請IP地址時的新舊情況，可以看到，大部分測量結果符合預期，剛開始申請到了大量的的新IP地址，隨之逐漸減少，直到耗盡整個IP地址池。當然，其中也存在如圖2(e)這種情況，在第三周時大量的新IP地址被加入地址池。

總的來說，實際測量結果表明，在云平臺中，IP use-afterfree的問題真實存在。

受影響的域名

既然云平臺中存在IP地址use-after-free的問題，本文就進一步分析了是否大量存在受此問題影響的域名。基于Farsight在2017年4月11日至8月9日之間的passive DNS數據，本文提取了指向AWS和Azure等平臺IP地址的DNS響應記錄（包含130,274,722 個域名），并針對這些域名測試了IP地址的可訪問性（ping可達或常見端口可訪問等）。當未收到IP地址的響應時，就判斷該IP地址已經被釋放回云平臺中（文中argue了這個判斷的合理性，至少可以獲取到了上限值）。

因而，本文過濾出了720,180個域名，它們指向了已被釋放的IP地址，這些域名即為可能受IP地址use-after-free問題影響的可攻擊目標。在這些域名中，80.31%的過期域名-IP映射由于遷移延誤造成，17.24%的域名-IP映射屬于被遺棄未再用的，2.45%的屬于域名的額外IP映射。從結果看，雖然stale域名的占比很小（占比0.5%），但從數量上看依然很大，它們都可能受到domain takeover、phishing等攻擊。

圖2 亞馬遜網絡服務EC2云上的IP地址流失，每個地區每天新觀察的IP地址

圖3 緩解域接管攻擊的證書申請流程

Domain takeover攻擊驗證

在獲取受影響域名列表后，本文通過從Let's Encrypt獲取證書來證明域名takeover攻擊的可行性。在區域“uswest-2”中，實驗僅需27分55秒就獲得了被目標釋放的IP地址（2IP/秒的云端IP地址分配速度），然后進一步申請獲取了有效證書。

Mitigation

前文描述了IP user-after-free的漏洞在互聯網中普遍存在，并且由于基于域名驗證的SSL證書頒發機制使該漏洞的安全威脅進一步加劇。因而，本文認為首先需要解決基于域名驗證的證書頒發機制所引發的問題。

目前，互聯網中存在多個CA，都可以頒發域名的合法證書，任何一個CA出問題都會對整個SSL證書系統帶來安全威脅，如DigiNotar入侵事件[1]和Symantec CA頒發非法證書的問題[2]。針對SSL證書的安全問題，目前也已經提出了多種解決方案，如CRLite[3]，CRLSet[4]和 Certificate Transparency[5]，但 CRLite 還未被廣泛采用，CRLset主要用于在緊急情況下阻止特定證書，而Certificate Transparency因Google要求CA必須發布已頒發證書的Transparency Log[6]被廣泛應用。所以，本文提出的解決方案修改Let's Encrypt等采用的ACME協議[7]，通過在基于域名的認證過程中引入Certificate Transparency來確認證書申請者的身份，如圖3所示。在圖3中，CA在收到證書申請時，額外向CT（Certificate Transparency）日志查詢是否存在已頒發證書。若存在，則在驗證過程中，要求申請者利用已有證書來完成驗證challenge。

當然，這個解決方案也存在一些failure cases，如：合法域名擁有者的老證書秘鑰遺失；合法證書已過期；因域名交易等的擁有者合法轉移，新擁有者沒有老證書私鑰的情況。這些情況下都無法通過基于已有證書的challenge驗證。針對這些cases，本文也針對性進行了論述，并建議CA需要進一步采取DNS記錄或WHOIS郵件等驗證方式。

除了SSL證書驗證的問題，對于云平臺來說，可以采取的防御措施有限制IP分配速度；為不同的云租戶分配不同的IP地址池；或者監控云租戶使用過的IP地址，并進行異常報告等。對于云租戶自身來說，本文也建議繼續使用相同的IP，或者盡量等待一周以上時間，保證舊DNS記錄被過期清除。同時，DNS服務器自身也應該遵守RFC標準，及時清除過期DNS記錄。

這篇論文描述互聯網中存在大量指向了云平臺中可分配IP的stale DNS記錄，從而攻擊者可以從云平臺分配到這些IP，完成domain takeover并進一步進行SSL證書申請等。從安全漏洞方面看，這篇論文討論的問題和2016年發表于CCS的《All Your DNS Records Point to Us: Understanding the Security Threats of Dangling DNS Records》[8]是一樣的，[8]中將這種現象稱之為Dare(dangling DNS record)記錄。從論文內容上說，本文利用Farsight的Passive記錄更全面的分析了互聯網中的stale DNS記錄，說明了此問題的嚴重性；并進一步實際驗證了在云端獲取目標IP的可行性，針對SSL證書頒發過程提出了更現實的解決方案。