17 sierpnia 2017

Doctor Web opublikował już artykuł o tym jak nieprawidłowe ustawienia serwera DNS, w połączeniu z innymi czynnikami, może być jedną z możliwych przyczyn narażenia stron www na ataki. Badania przeprowadzone przez naszych analityków pokazały, że takie problemy dotyczą w istotnym stopniu wielu rosyjskich organizacji finansowych i kilku organizacji rządowych.

System rozwiązywania nazw domen - Domain Name System (DNS) pozwala na pozyskiwanie informacji o domenach i zapewnia adresowanie zasobów w Sieci. Oprogramowanie klienta, w szczególności przeglądarki www, używają DNS do określenia adresu IP zasobu w Sieci zgodnie z wprowadzonym adresem URL. Zazwyczaj posiadacze domen samodzielnie administrują serwerami DNS.

Wiele zasobów w Sieci używa kilku dodatkowych domen trzeciego, a nawet czwartego poziomu oprócz głównej domeny drugiego poziomu. Na przykład, domena drweb.com używa poddomen vms.drweb.ru. Zawierają one stronę www która pozwala użytkownikom na sprawdzanie linków lub plików, lub na wyszukiwanie opisów wirusów. Domena free.drweb.ru jest przeznaczona dla potrzeb strony Dr.Web CureIt!; updates.drweb.com to strona systemu aktualizacji Dr.Web, itp. Różne usługi techniczne i usługi wsparcia są zazwyczaj implementowane z użyciem tego typu domen. Takie usługi zawierają system administrowania i zarządzania stroną www, systemy bankowości online, interfejsy www dla serwera poczty i wszystkie rodzaje wewnętrznych stron www przeznaczonych dla pracowników firmy. Poddomeny mogą być również użyte do stworzenia systemów kontroli wersji oprogramowania, systemów śledzenia błędów (bugtracker), różnych usług monitorowania, zasobów wiki i dla innych potrzeb.

Podczas atakowania stron www w celu ograniczenia ich bezpieczeństwa, cyberprzestępcy zbierają najpierw informacje o zasobach www które chcą zaatakować. W szczególności, próbują określić rodzaj i wersję serwera www obsługującego stronę www. Próbują również zidentyfikować wersję systemu zarządzania treścią (CMS), język programowania silnika strony i inne informacje techniczne, włączając listę poddomen domeny głównej atakowanej strony www. Używając tej listy, cyberprzestępcy mogą spróbować dostać się do wnętrza infrastruktury zasobu www przez tzw. “tylne drzwi”, generując dane konta i z powodzeniem logując się do jednej z wewnętrznych, prywatnych usług. Wielu administratorów systemów nie zwraca wystarczającej uwagi na bezpieczeństwo takich zasobów. Tymczasem takie “wewnętrzne” strony www mogą używać przestarzałego oprogramowania zawierającego znane podatności, zawierać informacje ze śledzenia błędów, lub pozwalać na rejestrację w trybie otwartym. Wszystko to może znacząco uprościć zadanie cyberprzestępcom.

Jeśli serwery DNS obsługujące stronę www są prawidłowo skonfigurowane, cyberprzestępcy nie będą mogli pozyskać żądanych informacji o domenie i jej strefie. Jednakże, jeśli ustawienia serwera DNS są nieprawidłowe, to specjalne żądanie AXFR pozwala cyberprzestępcom na pozyskanie pełnych danych a temat poddomen zarejestrowanych w strefie danej domeny. Posiadanie nieprawidłowych ustawień serwera DNS nie jest samo w sobie podatnością, jednakże mogą być one pośrednim powodem narażenia zasobu www na atak.

Analitycy bezpieczeństwa Doctor Web przeprowadzili badanie konfiguracji serwerów DNS licznych rosyjskich banków i organizacji rządowych. Wykryli, że 89 z mniej – więcej 1000 sprawdzonych przez nich domen rosyjskich banków udostępnia informacje na temat strefy domeny w odpowiedzi na zewnętrzne żądania AXFR. Ta informacja została wysłana do Zespołu Reagowania na Zagrożenia Komputerowe w Sektorze Finansowym (Financial Sector Computer Emergency Response Team – FinCERT) przy Banku Rosji. Dodatkowo, nieprawidłowe ustawienia zostały wykryte na stronach www kilku organizacji rządowych. Doctor Web przypomina administratorom stron www o tym, że prawidłowa konfiguracja DNS jest jednym z czynników odpowiadających za bezpieczeństwo zasobu internetowego.