Зависающий DNS: скрытая угроза безопасности, которую нельзя игнорировать

Многие онлайн-атаки можно предотвратить с помощью программного обеспечения и специальных инструментов. Ситуация с «зависшим» DNS несколько отличается и связана, прежде всего, с отсутствием внутренних процессов в организации и человеческими ошибками.

В этой статье мы обсудим процессы, связанные с «висящим» DNS, и некоторые механизмы предотвращения.  

Что такое «висящий» DNS?

«Висящий» DNS — это уязвимость, которая возникает, когда записи DNS указывают на удаленный или больше не используемый ресурс. При этом, несмотря на возможное удаление домена, запись DNS не удаляется и не обновляется.

Такая ситуация создает риски, когда злоумышленник может ею воспользоваться и настроить ресурс на незанятом адресе или даже зарегистрировать ресурс, срок действия которого истек.

Как возникает «висящий» DNS?

Пример 1:

Начнем с первого примера, где есть субдомен, который ранее использовался для отправки электронных писем, но сейчас не работает. Эта служба не используется, и вы вывели из эксплуатации узел и хост, но почему-то забыли удалить CNAME.

Это означает, что эта забытая запись является «висящим» DNS, поскольку ее невозможно контролировать. Благодаря такой уязвимости хакеры могут использовать эту ситуацию для фишинга или других попыток атаки. Когда такая уязвимость обнаруживается мошенниками, они присваивают ресурсу Azure тот же FQDN, что использовался ранее. С этого момента весь трафик может контролироваться хакерами благодаря CNAME. Через CNAME все ресурсы DNS передаются на сторонний сервис.

Пример 2:

Другой сценарий касается субдомена, который не существует, но ранее использовался для отправки электронной почты сторонней компании. CNAME указывает на домен компании, которой не существует. Поскольку срок действия домена истек, им может воспользоваться любой желающий.

Хакеры могут легко обнаружить эту информацию и использовать этот домен. После этого они могут завладеть ресурсами DNS старого субдомена, включая записи DKIM, A и MX.

Какие потенциальные риски связаны с «висящим» DNS?

В случае, если запись DNS указывает на недоступный домен, первым шагом должно быть его удаление из зоны DNS. Если этого не сделать, то будут очевидные последствия, которые мы уже обсуждали в вышеупомянутых примерах.

Поскольку использование субдоменов является законным, хакеры могут легко использовать вредоносное программное обеспечение или другой вредоносный контент. Когда хакер получает контроль над субдоменом, он может настроить все по своему усмотрению и даже перехватывать запросы. Когда настоящие пользователи посещают этот сервис, сервер злоумышленника получает токены сеанса, что может привести к несанкционированному доступу к учетным записям пользователей.

Субдомены, которые используют хакеры, выглядят очень реалистично, и в некоторых ситуациях даже DMARC не может остановить такую незаконную деятельность. Хакеры могут просто использовать аутентифицированный субдомен.   

Другая возможная угроза возникает, когда хакер получает IP-адрес для перехвата трафика. После вывода из эксплуатации определенного домена информация о его IP-адресе остается доступной. Поэтому злоумышленники могут использовать этот IP-адрес и регистрировать запросы.

Такие злонамеренные действия могут перерасти в следующие типы атак:

• MITM или атака «человек посередине».
• XSS или межсайтовый скриптинг.
• CSRF
• Обход CORS.

Как этому предотвратить?

Существует несколько эффективных механизмов, которые могут помочь в предотвращении возникновения «висящего» DNS. Большинство рекомендаций касаются оптимизации некоторых фундаментальных процессов.

• Регулярные аудиты DNS. Во время регулярных проверок можно определить, где все точки входа контролируются и активны. В зависимости от количества ресурсов такие проверки следует проводить не реже одного раза в квартал или чаще, в зависимости от потребностей.
• Мониторинг истечения срока действия доменов. Это должно быть постоянной практикой для предотвращения некоторых серьезных рисков.
• Процессы вывода из эксплуатации. При выводе ресурсов из эксплуатации очень важно удалить все связанные записи DNS, и это следует делать как можно быстрее.