7 aprile 2016

I malintenzionati non di rado utilizzano vulnerabilità in software per accedere illegalmente a sistemi informatici e reti remote. Tuttavia, le configurazioni non corrette di applicazioni di server o di altri software potrebbero diventare una grave fonte di problemi. Gli specialisti Doctor Web hanno rilevato un errore nella configurazione dell'hardware di una grande azienda che fornisce ai suoi clienti il servizio di hosting DNS.

I server DNS (Domain Name System) sono responsabili per l'indirizzamento in Internet e assicurano che i client ricevano le informazioni circa domini. I server DNS possono essere gestiti dai proprietari del dominio o da un'azienda cui appartiene un sito web che utilizza questo dominio, però spesso tale lavoro viene passato a società terze. Una di tali società è easyDNS Technologies, Inc. (easydns.com) che fornisce servizi a diverse risorse Internet popolari e frequentemente visitate, tra cui dei siti nella TOP della classifica Alexa.net, quali per esempio informer.com e php.net. Oltre agli altri servizi, l'azienda easyDNS Technologies, Inc. dà server DNS in affitto ai suoi utenti — questo servizio è ricercato dai clienti che non desiderano occuparsi in autonomo di mantenere e amministrare server DNS.

Gli specialisti dell'azienda antivirus Doctor Web hanno individuato che uno dei server DNS dell'azienda easyDNS Technologies, Inc. possiede configurazioni incorrette e come risultato processa le richieste AXFR per il trasferimento di zona di dominio, provenienti da qualsiasi fonte esterna. AXFR — un genere di transazioni, che viene utilizzato, tra le altre cose, per fare repliche di database tra server DNS. In pratica ciò significa che le aziende che usufruiscono dei servizi di easyDNS Technologies, Inc. aprono a tutto il mondo la lista dei sottodomini da loro registrati, in particolare, di quelli utilizzati per gli scopi interni. Tali domini si possono utilizzare, per esempio per organizzare web server interni non pubblici, sistemi di controllo di versioni, tracker di errori, diversi servizi di monitoraggio, risorse wiki ecc. Se hanno tale lista di indirizzi, i malintenzionati possono analizzare con una notevolmente maggiore facilità la rete della potenziale vittima per cercare punti deboli o non protetti.

Di per sé, il trasferimento di zona di dominio non è in grado di causare qualche danno finanziario all'azienda che utilizza il server DNS vulnerabile, però una richiesta AXFR processata con successo fornisce ai potenziali intrusi delle informazioni abbondanti circa gli attrezzi e strumenti di sviluppo utilizzati da quest'azienda. Per esempio, i criminali informatici possono prendere visione della versione beta di un sito aziendale, valutare il numero di indirizzi IP utilizzati, cercare di trovare le credenziali per l'accesso al sistema di controllo di versioni, alle altre risorse interne. Tutto questo può rappresentare un determinato pericolo in quanto molti amministratori di sistema si sforzano di proteggere maggiormente il sito principale aziendale a scapito dei servizi interni non pubblici, a cui un utente di Internet di regola non può accedere. Se tali risorse "di servizio" sono situate in una zona IP di fiducia, utilizzano software non aggiornati con delle falle conosciute, permettono agli utenti di registrarsi pubblicamente o contengono le informazioni di debug nel codice delle pagine web, tutto questo può essere d'aiuto ai malfattori che cercano di accedere in modo non autorizzato alle informazioni confidenziali.

Naturalmente, una configurazione incorretta dei server DNS, che consente di processare le richieste AXFR esterne, non è una cosa nuova nella sfera di sicurezza informatica: è un fenomeno abbastanza diffuso che può essere classificato come "security misconfiguration". C'è però da ricordare che la ricerca dei server DNS capaci di processare tali richieste e la tecnologia di rilevamento di sottodomini tramite le risorse dei motori di ricerca sono automatizzate da molto tempo. In particolare, tutte queste funzioni sono realizzate nell'utility "dnsenum" che fa parte del set di strumenti della specifica distro Kali Linux progettata per i "test di penetrazione", il che mostra chiaramente che esiste un interesse verso tale vettore di attacchi informatici. Da questo possiamo concludere: è normale affidare l'amministrazione dei server DNS alle aziende terze, però i proprietari stessi delle risorse Internet dovrebbero prendersi cura della propria sicurezza. L'approccio "abbi fiducia però controlli" è molto adatto a questa situazione.

Gli specialisti Doctor Web hanno informato l'azienda easyDNS Technologies, Inc. circa la falla rilevata nella configurazione di un loro server DNS e attualmente vengono intrapresi dei passi per risolvere il problema delle impostazioni non corrette.