Неактивний DNS: прихована загроза безпеці, яку не можна ігнорувати

Багато онлайн-атак можна вирішити за допомогою програмного забезпечення та спеціальних інструментів. Ситуація з «висячим» DNS дещо відрізняється і пов’язана, насамперед, з відсутністю внутрішніх процесів в організації та людськими помилками.

У цій статті ми обговоримо процеси, пов'язані з «висячим» DNS, та деякі механізми запобігання.  

Що таке «висячий» DNS?

«Висячий» DNS — це вразливість, яка виникає, коли записи DNS вказують на видалений або більше не використовуваний ресурс. При цьому, незважаючи на можливе видалення домену, запис DNS не видаляється та не оновлюється.

Така ситуація створює ризики, коли зловмисник може скористатися нею та налаштувати ресурс на незайнятому адресі або навіть зареєструвати ресурс, термін дії якого закінчився.

Як виникає «висячий» DNS?

Приклад 1:

Почнемо з першого прикладу, де є субдомен, який раніше використовувався для надсилання електронних листів, але зараз не працює. Ця служба не використовується, і ви вивели з експлуатації вузол та хост, але чомусь забули видалити CNAME.

Це означає, що цей забутий запис є «висячим» DNS, оскільки його неможливо контролювати. Завдяки такій уразливості хакери можуть використати цю ситуацію для фішингу або інших спроб атаки. Коли така вразливість виявляється шахраями, вони присвоюють ресурсу Azure той самий FQDN, що використовувався раніше. З цього моменту весь трафік може контролюватися хакерами завдяки CNAME. Через CNAME всі ресурси DNS передаються до стороннього сервісу.

Приклад 2:

Інший сценарій стосується субдомену, який не існує, але раніше використовувався для надсилання електронної пошти сторонній компанії. CNAME вказує на домен компанії, яка не існує. Оскільки термін дії домену закінчився, ним може скористатися будь-хто.

Хакери можуть легко виявити цю інформацію та використати цей домен. Після цього вони можуть заволодіти ресурсами DNS старого субдомену, включаючи записи DKIM, A та MX.

Які потенційні ризики пов'язані з «висячим» DNS?

У разі, якщо запис DNS вказує на домен, який недоступний, першим кроком має бути його видалення із зони DNS. Якщо цього не зробити, то будуть очевидні наслідки, які ми вже обговорювали у вищезазначених прикладах.

Оскільки використання субдоменів є законним, хакери можуть легко використовувати шкідливе програмне забезпечення або інший шкідливий контент. Коли хакер отримує контроль над субдоменом, він може налаштувати все за потреби і навіть перехоплювати запити. Коли справжні користувачі відвідують цей сервіс, сервер зловмисника отримує токени сеансу, що може призвести до несанкціонованого доступу до облікових записів користувачів.

Субдомени, які використовують хакери, виглядають дуже реалістично, і в деяких ситуаціях навіть DMARC не може зупинити таку незаконну діяльність. Хакери можуть просто використовувати аутентифікований субдомен.   

Інша можлива загроза виникає, коли хакер отримує IP-адресу для перехоплення трафіку. Після виведення з експлуатації певного домену інформація про його IP-адресу залишається доступною. Тож зловмисники можуть використовувати цю IP-адресу та реєструвати запити.

Такі зловмисні дії можуть перерости в такі типи атак:

• MITM або атака «людина посередині».
• XSS або міжсайтовий скриптинг.
• CSRF
• Обхід CORS.

Як цьому запобігти?

Існує кілька ефективних механізмів, які можуть допомогти у запобіганні виникненню «висячого» DNS. Більшість рекомендацій стосуються оптимізації деяких фундаментальних процесів.

• Регулярні аудити DNS. Під час регулярних перевірок можна визначити, де всі точки входу контролюються та активні. Залежно від кількості ресурсів, такі перевірки слід проводити щонайменше раз на квартал або частіше, залежно від потреб.
• Моніторинг закінчення терміну дії доменів. Це має бути постійною практикою для запобігання деяким серйозним ризикам.
• Процеси виведення з експлуатації. Під час виведення ресурсів з експлуатації дуже важливо видалити всі пов'язані записи DNS, і це слід робити якомога швидше.