Error de DNS de Mastercard pasó desapercibido durante años

 (krebsonsecurity.com)
1 puntos por GN⁺ 2025-01-23 | 1 comentarios | Compartir por WhatsApp

  • Error de configuración de DNS en Mastercard

    • Mastercard corrigió un error en la configuración de sus servidores de nombres de dominio.
    • Debido a este error, era posible registrar un nombre de dominio no utilizado para interceptar o desviar tráfico de Internet.
    • El problema persistió durante unos 5 años, y un investigador de seguridad registró el dominio por $300 para evitar que ciberdelincuentes lo explotaran.

  • Descubrimiento y resolución del error

    • El 14 de enero de 2025, en una consulta DNS del dominio az.mastercard.com se detectó el nombre de dominio incorrecto a22-65.akam.ne.
    • Mastercard usa los servidores DNS de Akamai, y todos los nombres de servidor debían terminar en akam.net, pero uno de ellos estaba configurado por error como akam.ne.
    • El consultor de seguridad Philippe Caturegli descubrió el error y registró el dominio akam.ne para mitigar el problema.

  • Riesgos potenciales y respuesta

    • Después de configurar un servidor DNS para el dominio akam.ne, Caturegli recibió cientos de miles de solicitudes DNS desde todo el mundo.
    • Si hubiera configurado un servidor de correo, podría haber recibido correos dirigidos a MasterCard.com o a otros dominios afectados.
    • Caturegli notificó a Mastercard sobre el problema y permitió que la empresa tomara control del dominio.

  • Respuesta de Mastercard

    • Mastercard afirmó que este error no representó una amenaza para la seguridad de sus sistemas.
    • A través de Bugcrowd, le pidieron a Caturegli que eliminara una publicación de LinkedIn.
    • Caturegli explicó que no reportó el problema por Bugcrowd, sino que registró el dominio para impedir su explotación.

  • Importancia de los servidores DNS

    • La mayoría de las organizaciones cuenta con al menos dos servidores de nombres de dominio autoritativos.
    • Mastercard usa cinco servidores DNS, por lo que controlar un solo dominio permitiría ver solo alrededor de una quinta parte de todas las solicitudes DNS.
    • Caturegli explicó que muchos usuarios utilizan forwarders de tráfico público o resolvers DNS, por lo que si un resolver almacena en caché un resultado incorrecto, podría desviarse mucho más tráfico.

  • Comentarios adicionales de Caturegli

    • Caturegli esperaba que Mastercard al menos agradeciera el hallazgo o compensara el costo de compra del dominio.
    • También respondió en LinkedIn a la declaración pública de Mastercard y compartió registros de consultas DNS.

  • Otra información relacionada

    • El dominio akam.ne fue registrado por primera vez en diciembre de 2016 y expiró en 2018.
    • Un dominio con error tipográfico similar, awsdns-06.ne, también fue registrado por un usuario de Yandex y está alojado en un ISP de Alemania.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-01-23
Opiniones de Hacker News

  • Como comentario relacionado con la investigación, los servidores de nombres registrables públicamente son poco comunes, y es más habitual mapear directamente a direcciones IP de proveedores de nube

    • Debido al alcance y la falta de visibilidad de los servicios en la nube, es más probable que las empresas tengan vulnerabilidades en subdominios
    • Los programas de bug bounty a menudo no reconocen el secuestro de subdominios como una amenaza de seguridad válida
    • Ha habido casos en los que este tipo de errores de gestión de configuración provocaron filtraciones de información sensible
    • El entorno actual de divulgación de vulnerabilidades facilita que las empresas no reconozcan las vulnerabilidades
    • Estas vulnerabilidades pueden explotarse para emitir certificados TLS

  • La historia relacionada con Bugcrowd es inesperada

    • Podría ser que Bugcrowd esté intentando regular conductas fuera de la plataforma, o que Mastercard esté haciéndose pasar por personal de Bugcrowd
    • Ninguna de las dos opciones es deseable

  • Es posible que un investigador de seguridad profundice más para recopilar más evidencia

    • Se debería ofrecer una recompensa suficiente al investigador para minimizar el impacto
    • Los intentos de reprimir al investigador podrían ser acciones de personal de relaciones públicas equivocado

  • El dominio akam.ne ya había sido registrado anteriormente, y ha habido casos de registro de dominios con errores tipográficos similares

    • Estos dominios estaban conectados a servidores de internet en Alemania

  • En Ucrania, el certificado SSL de MasterCard expiró, lo que causó problemas en las transacciones en línea

    • No se renovó el certificado y el servicio dejó de funcionar silenciosamente

  • Debido a un error de MasterCard, pueden surgir problemas cuando un dominio difiere por una sola letra del TLD original

    • Si ese dominio no existiera, no se producirían solicitudes DNS erróneas

  • Un cambio de dominio de un proveedor que usaba Vercel provocó un incidente de seguridad

    • En cuanto el dominio volvió al pool, un atacante lo adquirió y distribuyó malware

  • Debieron haber proporcionado el nombre de dominio a Akamai, y Akamai tiene la responsabilidad de manejarlo

  • Además de MasterCard, también ocurrieron problemas similares en bancos de Canadá y en Canada Post

    • Canada Post resolvió el problema, pero el banco lo solucionó y luego volvió a provocarlo