«Доктор Веб» обнаружил ошибку в конфигурации оборудования провайдера услуг DNS-хостинга

Специалисты компании «Доктор Веб» обнаружили ошибку в конфигурации оборудования одной из крупных компаний, предоставляющих своим клиентам услугу DNS-хостинга. Об этом CNews сообщили в «Доктор Веб». Как известно, серверы DNS (Domain Name System) отвечают за адресацию в интернете, обеспечивая клиентам получение информации о доменах. Администрированием DNS-серверов могут заниматься владельцы домена или сотрудники организации, которой принадлежит веб-сайт, использующий этот домен. Однако зачастую подобная задача передается другим коммерческим компаниям. Одной из таких фирм является easyDNS Technologies, Inc. (easydns.com), клиентами которой являются многие интернет-ресурсы, в том числе порталы, входящие в топ рейтинга Alexa.net. Помимо прочих сервисов, компания easyDNS Technologies предоставляет своим пользователям в аренду DNS-серверы — эта услуга востребована клиентами, которые не желают сами заниматься их поддержкой и администрированием. Специалистам антивирусной «Доктор Веб» удалось установить, что один из DNS-серверов компании easyDNS Technologies настроен некорректно, в результате чего обрабатывает поступающие из любых внешних источников AXFR-запросы на передачу доменной зоны. AXFR — это вид транзакции, используемый в том числе для репликации баз данных между DNS-серверами. На практике это означает, что компании, пользующиеся услугами easyDNS Technologies, открывают всему миру список зарегистрированных ими поддоменов, в частности, используемых для внутренних целей. Такие домены могут быть задействованы, например, для организации непубличных внутренних веб-серверов, систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов, и т.д. С использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест, подчеркнули в компании. Сам по себе факт передачи доменной зоны не способен причинить какой-либо финансовый ущерб организации, эксплуатирующей уязвимый DNS-сервер, однако успешно обработанный AXFR-запрос предоставляет потенциальным взломщикам избыточную информацию об используемом этой компанией инструментарии и средствах разработки. Например, киберпреступники могут ознакомиться с бета-версией сайта фирмы, оценить количество задействованных IP-адресов, попытаться подобрать аутентификационные данные к системе контроля версий, другим внутренним ресурсам. Все это может представлять определенную опасность, поскольку многие системные администраторы уделяют повышенное внимание защите лишь основного веб-сайта компании в ущерб внутренним непубличным сервисам, к которым пользователи интернета, как правило, не имеют доступа. Если такие «служебные» ресурсы располагаются в доверенной IP-зоне, используют устаревшее ПО с известными уязвимостями, допускают открытую регистрацию пользователей или содержат отладочную информацию в коде веб-страниц, все это может стать неплохим подспорьем для злоумышленников, пытающихся получить несанкционированный доступ к конфиденциальным данным, считают в «Доктор Веб». «Безусловно, некорректная настройка DNS-серверов, позволяющая обрабатывать внешние AXFR-запросы, не является чем-то новым в сфере информационной безопасности: это весьма распространенное явление, которое можно отнести к категории security misconfiguration. Вместе с тем, механизм поиска DNS-серверов, способных обрабатывать такие запросы, наряду с технологией обнаружения поддоменов с применением ресурсов поисковых систем, давно автоматизированы. В частности, все эти функции реализованы в утилите dnsenum, входящей в набор инструментов специального дистрибутива Kali Linux, предназначенного для выполнения “тестов на проникновение”, что свидетельствует об интересе к такому вектору атак, — пояснили в компании. — Исходя из этого можно сделать вывод: делегирование задач по администрированию DNS-серверов сторонним компаниям — вполне обоснованная практика, однако заботиться о собственной безопасности должны все-таки сами владельцы интернет-ресурсов». Специалисты «Доктор Веб» информировали компанию easyDNS Technologies о выявленной уязвимости в конфигурации их DNS-сервера, и в настоящий момент принимаются меры по исправлению некорректных настроек. Ссылка на источник