Seorang penyelidik keselamatan dari Seralys telah mengenal pasti kemungkinan pemalsuan pelayan DNS untuk domain mastercard.com yang digunakan dalam infrastruktur sistem pembayaran MasterCard. Terdapat kesilapan taip dalam tetapan zon domain mastercard.com sejak Jun 2020 - dalam senarai pelayan DNS yang menyediakan zon, bukannya hos “a22-65.akam.net” (perkhidmatan DNS Akamai), hos “a22-65.akam.ne” telah dinyatakan . Zon akar ".ne" diperuntukkan kepada Republik Niger dan domain "akam.ne" tersedia untuk dijual.
Oleh itu, selama empat setengah tahun, sesiapa sahaja boleh beli domain "akam.ne," cipta hos "a22-65.akam.ne," gunakan pelayan DNS padanya, cipta zon DNS mastercard.com anda sendiri dan halakan semula mana-mana subdomain mastercard.com ke pelayan anda. DNSSEC tidak digunakan untuk mastercard.com. Memandangkan kesalahan taip adalah atas nama salah satu daripada lima pelayan DNS, serangan yang berjaya boleh menguasai sekurang-kurangnya satu perlima daripada trafik. Jangkauan ini boleh ditingkatkan dengan menetapkan TTL (Time To Live) yang tinggi untuk zon palsu, yang akan mengakibatkan pengekalan cache yang lebih lama untuk penyelesai awam, seperti yang diselenggara oleh Cloudflare (1.1.1.1) dan Google (8.8.8.8).
Selain memintas trafik daripada hos sedia ada, adalah mungkin untuk menjalankan serangan yang kurang kelihatan dan menggunakan subdomain yang pada mulanya hilang untuk pancingan data, contohnya, dengan mencipta hos "redemtion.mastercard.com" dan menggunakannya dalam spam dan bukannya titik masuk yang sah "redemption.mastercard.com." Antara lain, dengan mendapatkan kawalan ke atas salah satu pelayan DNS yang berkhidmat untuk domain mastercard.com, adalah mungkin untuk Sijil TLS dalam perkhidmatan yang membenarkan pengesahan pemilikan domain melalui web atau DNS, seperti Let's Encrypt. Senario serangan yang mungkin juga termasuk mewujudkan pelayan mel palsu untuk memintas surat-menyurat daripada alamat e-mel name@mastercard.com dan memintas data pengesahan daripada komputer pekerja menggunakan Windows.
Penyelidik yang menemui masalah membeli domain "akam.ne" dengan harga $300 dan menjalankan penghidu DNS padanya untuk menganggarkan jumlah trafik. Analisis permintaan yang diterima menunjukkan bahawa kes dengan MasterCard bukan satu-satunya dan terdapat zon domain lain dalam senarai pelayan DNS di mana hos "akam.ne" ditunjukkan dan bukannya "akam.net". Selain itu, telah didedahkan bahawa dari 2015 hingga 2018, domain “akam.ne” telah didaftarkan dan mungkin digunakan untuk melakukan serangan. Serangan itu disyaki kerana bekas pemilik "akam.ne" turut mendaftarkan domain "awsdns-06.ne", yang digayakan supaya kelihatan seperti pelayan DNS "awsdns-06.net". Kegagalan salah satu pelayan DNS dengan kesilapan menaip dalam nama mungkin kekal tidak disedari oleh pentadbir untuk masa yang lama, kerana toleransi kesalahan dipastikan dengan menyatakan beberapa pelayan DNS.
MasterCard pada mulanya tidak mengendahkan laporan tentang masalah itu, tetapi selepas dihubungi oleh wartawan Brian Krebs, ia mengakui dan membetulkan kesilapan itu, dengan mengatakan bahawa ralat itu tidak menimbulkan ancaman kepada infrastruktur. Selepas ini, melalui perkhidmatan Bugcrowd, yang membolehkan anda menerima royalti untuk kelemahan yang dikenal pasti, penyelidik telah memajukan permintaan daripada MasterCard untuk memadamkan nota yang diterbitkan mengenai kejadian itu.
Sebagai tindak balas, penyelidik menyatakan bahawa walaupun dia mempunyai akaun pada perkhidmatan Bugcrowd, dia tidak menyerahkan sebarang permintaan untuk ganjaran, tetapi secara langsung memberitahu MasterCard tentang masalah itu. Nota itu diterbitkan untuk menarik perhatian kepada masalah itu selepas MasterCard tidak lagi terancam dan domain "akam.ne" adalah milik penyelidik. Akhirnya, MasterCard bukan sahaja tidak membayar pampasan $300 yang dibelanjakan untuk domain tersebut, malah tidak mengucapkan terima kasih kepada penyelidik secara lisan.
Bagi pernyataan bahawa ralat itu tidak menimbulkan risiko tambahan, penyelidik menyediakan statistik mengenai permintaan DNS yang diterima, termasuk domain *.az.mastercard.com, menunjuk kepada komponen kerja infrastruktur MasterCard yang dihoskan dalam perkhidmatan awan Microsoft Azure. . Kompromi komponen tersebut nampaknya menimbulkan risiko keselamatan yang kritikal.
Sumber: opennet.ru
