Специалистам антивирусной компании «Доктор Веб» удалось установить, что один из DNS-серверов компании easyDNS Technologies настроен некорректно, в результате чего обрабатывает поступающие из любых внешних источников AXFR-запросы на передачу доменной зоны. AXFR — это вид транзакции, используемый в том числе для репликации баз данных между DNS-серверами. Это означает, что компании, пользующиеся услугами easyDNS Technologies, открывают всему миру список зарегистрированных ими поддоменов, в частности, используемых для внутренних целей. Такие домены могут быть задействованы, например, для организации непубличных внутренних веб-серверов, систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов, и т. д. С использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест.
Сам по себе факт передачи доменной зоны не способен причинить какой-либо финансовый ущерб организации, эксплуатирующей уязвимый DNS-сервер, однако успешно обработанный AXFR-запрос предоставляет потенциальным взломщикам избыточную информацию об используемом этой компанией инструментарии и средствах разработки. Например, киберпреступники могут ознакомиться с бета-версией сайта фирмы, оценить количество задействованных IP-адресов, попытаться подобрать аутентификационные данные к системе контроля версий, другим внутренним ресурсам. Все это может представлять определенную опасность, поскольку многие системные администраторы уделяют повышенное внимание защите лишь основного веб-сайта компании в ущерб внутренним непубличным сервисам, к которым пользователи интернета, как правило, не имеют доступа. Если такие «служебные» ресурсы располагаются в доверенной IP-зоне, используют устаревшее программное обеспечение с известными уязвимостями, допускают открытую регистрацию пользователей или содержат отладочную информацию в коде веб-страниц, все это может стать неплохим подспорьем для злоумышленников, пытающихся получить несанкционированный доступ к конфиденциальным данным.
Безусловно, некорректная настройка DNS-серверов, позволяющая обрабатывать внешние AXFR-запросы, не является чем-то новым в сфере информационной безопасности: это весьма распространенное явление, которое можно отнести к категории «security misconfiguration». Вместе с тем, механизм поиска DNS-серверов, способных обрабатывать такие запросы, наряду с технологией обнаружения поддоменов с применением ресурсов поисковых систем давно автоматизированы. В частности, все эти функции реализованы в утилите dnsenum, входящей в набор инструментов специального дистрибутива Kali Linux, предназначенного для выполнения «тестов на проникновение», что свидетельствует об интересе к такому вектору атак.
Исходя из этого, можно сделать вывод: делегирование задач по администрированию DNS-серверов сторонним компаниям — вполне обоснованная практика, однако заботиться о собственной безопасности должны все-таки сами владельцы интернет-ресурсов. Принцип «доверяй, но проверяй» в этом отношении весьма актуален.
Специалисты «Доктор Веб» информировали компанию easyDNS Technologies о выявленной уязвимости в конфигурации их DNS-сервера, и в настоящий момент принимаются меры по исправлению некорректных настроек.
