17 agosto 2017

Doctor Web già informava in un articolo che è possibile compromettere siti web a causa di, tra le altre cose, un'errata configurazione di server DNS. Uno studio condotto dai nostri analisti ha mostrato che tali problemi sono presenti nei domini di molte istituzioni finanziarie e di alcune organizzazioni governative russe.

Il sistema dei nomi di dominio (DNS, Domain Name System) permette di ottenere informazioni su domini e assicura l'indirizzamento in Internet. Tramite il DNS un software client, in particolare un browser, determina l'indirizzo IP di una risorsa Internet in base all'URL immesso. Di regola, l'amministrazione dei server DNS viene effettuata dai proprietari dei domini.

Molte risorse Internet utilizzano, oltre al principale dominio di secondo livello, alcuni addizionali domini di terzo e persino di quarto livello. Per esempio, il dominio drweb.com utilizza i sottodomini: vms.drweb.ru, su cui è locato il sito che permette di verificare un link, un file o trovare la descrizione di un virus, free.drweb.ru — il dominio per la pagina web dell'utility Dr.Web CureIt!, updates.drweb.com — la pagina del sistema di aggiornamento Dr.Web e così via. Insieme all'utilizzo di tali domini, di solito, sono realizzati anche vari servizi tecnici e ausiliari — sistemi di amministrazione e gestione del sito, sistemi di online banking, interfacce web di server di posta e diversi siti interni per i dipendenti aziendali. Inoltre, i sottodomini si possono utilizzare per esempio per organizzare sistemi di controllo versioni, tracker degli errori, diversi servizi di monitoraggio, risorse wiki e per altre necessità.

Quando i malintenzionati pianificano attacchi mirati a siti web al fine di comprometterli, come prima cosa, loro raccolgono informazioni sulla risorsa Internet bersaglio. In particolare, cercano di determinare il tipo e la versione del web server che viene utilizzato dal sito, la versione del sistema di gestione dei contenuti, il linguaggio di programmazione in cui è scritto il motore, e altre informazioni tecniche, tra cui una lista dei sottodomini del dominio principale del sito sotto attacco. Utilizzano tale lista, i malfattori possono provare ad intrufolarsi nell'infrastruttura della risorsa Internet attraverso la "porta di servizio" (il backdoor), trovando le credenziali e autorizzandosi su uno dei servizi interni non pubblici. Molti amministratori di sistema non prestano sufficiente attenzione alla sicurezza di tali risorse. Nel frattempo, tali siti "interni" possono utilizzare software non aggiornati con vulnerabilità conosciute, contenere informazioni di debug o consentire la registrazione aperta. Tutto ciò può semplificare notevolmente il lavoro dei malintenzionati.

Se i server DNS utilizzati da un sito web sono configurati correttamente, gli intrusi non saranno in grado di ottenere a loro richiesta informazioni sulla zona di dominio. Tuttavia, nel caso di errata configurazione dei server DNS una richiesta AXFR specifica consente ai criminali informatici di ottenere informazioni complete sui sottodomini registrati nella zona di dominio. Un'errata configurazione di server DNS di per sé non è una vulnerabilità, però può diventare una causa indiretta di quello che una risorsa Internet viene compromessa.

Gli analisti Doctor Web hanno esaminato la configurazione dei server DNS di alcune banche e organizzazioni governative russe. È stato accertato che di circa mille domini di banche russe controllati ottantanove restituiscono la zona di dominio in risposta ad una richiesta AXFR esterna. Queste informazioni sono state trasmesse al Centro per il monitoraggio e la risposta agli attacchi informatici nel settore finanziario (FinCERT) della Banca di Russia. Inoltre, impostazioni non corrette sono state rilevate sui siti di alcune organizzazioni governative. Doctor Web ricorda agli amministratori di siti che la corretta configurazione DNS è uno dei fattori che sono in grado di salvaguardare la sicurezza delle risorse Internet.