Dahil sa isang typo sa mga setting, maaaring madaya ng mga umaatake ang MasterCard DNS server

Natukoy ng isang security researcher mula sa Seralys ang posibilidad ng panggagaya ng DNS server para sa mastercard.com na domain na ginagamit sa imprastraktura ng sistema ng pagbabayad ng MasterCard. Nagkaroon ng typo sa mga setting ng mastercard.com domain zone mula noong Hunyo 2020 - sa listahan ng mga DNS server na nagsisilbi sa zone, sa halip na ang host na β€œa22-65.akam.net” (Akamai DNS service), ang host "a22-65.akam.ne" ay tinukoy . Ang root zone na ".ne" ay itinalaga sa Niger Republic at ang domain na "akam.ne" ay available para ibenta.

Kaya, sa loob ng apat at kalahating taon, kahit sino ay maaaring bumili ng domain "akam.ne," gawin ang host na "a22-65.akam.ne," maglagay ng DNS server dito, gumawa ng sarili mong mastercard.com DNS zone, at i-redirect ang anumang mastercard.com subdomain sa iyong server. Hindi ginamit ang DNSSEC para sa mastercard.com. Dahil ang typo ay nasa pangalan ng isa sa limang DNS server, maaaring nakontrol sana ng isang matagumpay na pag-atake ang kahit isang-kalima ng trapiko. Maaaring mapataas ang abot na ito sa pamamagitan ng pagtatakda ng mataas na TTL (Time To Live) para sa pekeng zone, na magreresulta sa mas mahabang pagpapanatili ng cache para sa mga pampublikong resolver, tulad ng mga pinapanatili ng Cloudflare (1.1.1.1) at Google (8.8.8.8).


Dahil sa isang typo sa mga setting, maaaring madaya ng mga umaatake ang MasterCard DNS server

Bukod sa pag-intercept ng trapiko mula sa mga kasalukuyang host, posible ring magsagawa ng hindi gaanong nakikitang pag-atake at gumamit ng isang nawawalang subdomain sa simula para sa phishing, halimbawa, sa pamamagitan ng paglikha ng host na "redemtion.mastercard.com" at paggamit nito sa spam sa halip na ang lehitimong entry point na "redemption.mastercard.com." Bukod sa iba pang mga bagay, sa pamamagitan ng pagkontrol sa isa sa mga DNS server na nagsisilbi sa mastercard.com domain, posible ring... Sertipiko ng TLS sa mga serbisyong nagpapahintulot sa pag-verify ng pagmamay-ari ng domain sa pamamagitan ng web o DNS, tulad ng Let's Encrypt. Kasama rin sa mga posibleng senaryo ng pag-atake ang paglikha ng pekeng mail server upang maharang ang mga sulat mula sa email address na name@mastercard.com at pagharang sa data ng pagpapatotoo mula sa mga computer ng mga empleyado gamit ang Windows.

Ang mananaliksik na natukoy ang mga problema ay bumili ng domain na "akam.ne" sa halagang $300 at nagpatakbo ng DNS sniffer dito upang tantyahin ang dami ng trapiko. Ang pagsusuri sa mga kahilingang natanggap ay nagpakita na ang kaso sa MasterCard ay hindi lamang isa at may iba pang mga domain zone na ang listahan ng mga DNS server ay naglalaman ng host na "akam.ne" sa halip na "akam.net". Bukod dito, ipinahayag na mula 2015 hanggang 2018 ang domain na "akam.ne" ay nakarehistro at malamang na ginamit upang magsagawa ng mga pag-atake. Ang pag-atake ay pinaghihinalaang dahil ang dating may-ari ng "akam.ne" ay nagparehistro din ng domain na "awsdns-06.ne", na naka-istilo bilang DNS server na "awsdns-06.net". Ang pagkabigo ng isa sa mga DNS server na may typo sa pangalan ay maaaring hindi napapansin ng mga administrator sa mahabang panahon, dahil ang fault tolerance ay sinisiguro sa pamamagitan ng pagtukoy ng ilang mga DNS server.

Noong una ay hindi pinansin ng MasterCard ang mga ulat ng problema, ngunit pagkatapos na makipag-ugnayan sa reporter na si Brian Krebs, kinilala at itinama nito ang error, na sinasabi na ang error ay hindi nagdulot ng banta sa imprastraktura. Pagkatapos nito, sa pamamagitan ng serbisyo ng Bugcrowd, na nagbibigay-daan sa iyong makatanggap ng mga royalty para sa mga natukoy na kahinaan, ipinasa ng mananaliksik ang isang kahilingan mula sa MasterCard na tanggalin ang nai-publish na tala tungkol sa insidente.

Bilang tugon, sinabi ng mananaliksik na bagama't mayroon siyang account sa serbisyo ng Bugcrowd, hindi siya nagsumite ng anumang mga kahilingan para sa mga gantimpala, ngunit direktang inabisuhan ang MasterCard tungkol sa problema. Ang tala ay nai-publish upang maakit ang pansin sa problema pagkatapos na ang MasterCard ay hindi na nasa panganib at ang "akam.ne" na domain ay pag-aari ng mananaliksik. Bilang resulta, hindi lamang binayaran ng MasterCard ang $300 na ginastos sa domain, ngunit hindi man lang pinasalamatan ang mananaliksik.

Tulad ng para sa pahayag na ang error ay hindi lumikha ng karagdagang mga panganib, ang mananaliksik ay nagbigay ng mga istatistika sa mga kahilingan sa DNS na natanggap, na kasama ang mga domain *.az.mastercard.com, na tumuturo sa mga gumaganang bahagi ng imprastraktura ng MasterCard na naka-host sa serbisyo ng cloud ng Microsoft Azure. . Ang kompromiso ng naturang mga bahagi ay lumilitaw na nagdulot ng isang kritikal na panganib sa seguridad.


Dahil sa isang typo sa mga setting, maaaring madaya ng mga umaatake ang MasterCard DNS server


Pinagmulan: opennet.ru
Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS πŸ”₯ Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster