Nuevo ataque DNS de "Sitting Ducks” permite apoderarse de los dominios

Iniciado por AXCESS, Agosto 03, 2024, 08:04:50 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 03, 2024, 08:04:50 PM Ultima modificación: Agosto 03, 2024, 08:21:19 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de Infoblox y Eclypsium han colaborado y han descubierto un sofisticado vector de ataque en el Sistema de nombres de dominio (DNS), denominado ataque Sitting Ducks. El ataque se reveló mientras se estudiaba la infraestructura utilizada para el 404TDS, un sistema de distribución de tráfico alojado en Rusia, lo que indica la participación de ciberdelincuentes con nexo ruso.

Sitting Ducks es un problema relacionado con el DNS detectado por primera vez en agosto de 2016 por Matt Bryant. Según se informa, una nueva amenaza de explotación ha estado apuntando a usuarios de todo el mundo desde junio de 2024.

El ataque es diferente de otras técnicas de control de dominio, ya que no se requiere acceso al registrador y todo lo que necesitan los atacantes es una delegación poco convincente. La delegación ocurre cuando un dominio o subdominio registrado delega servicios DNS autorizados a un proveedor diferente al registrador del dominio, y se vuelve "un lame" cuando el servidor de nombres autorizado carece de información del dominio y no puede resolver consultas. Un ataque de delegación "lame" ocurre cuando un actor malicioso registra el dominio asignado, obteniendo acceso a todos los dominios que apuntan a ese dominio.

Además, los atacantes explotan las vulnerabilidades del proveedor DNS escaneando Internet en busca de dominios con delegaciones lame, reclamando la propiedad sin la debida autorización. Crean un registro malicioso para el dominio secuestrado, redirigiendo el tráfico a un servidor malicioso y redirigiendo a los usuarios al sitio del atacante.

Según la publicación del blog de Eclypsium, Sitting Ducks tiene varias variaciones. Puede explotar errores tipográficos en la información del servidor de nombres del propietario del dominio, lo que permite que los ataques activos registren dominios parcialmente lame. Los registros DNS colgantes, que contienen información no válida debido a una configuración olvidada, se pueden generalizar a otros tipos de registros DNS. Los ataques de CNAME colgantes redirigen las respuestas de DNS a nombres de dominio caducados, lo que permite a los actores maliciosos registrar dominios caducados y ganar pedigrí.

Un análisis a gran escala de las delegaciones de dominios y la evaluación de alrededor de una docena de proveedores de DNS revelaron que varios actores, principalmente ciberdelincuentes rusos, están utilizando este ataque, y cientos de dominios son secuestrados diariamente, a menudo registrados con registradores de protección de marca o dominios similares.

"Nuestra investigación reveló que el vector Sitting Ducks se ha utilizado para secuestrar más de 35.000 dominios desde 2018, aunque es probable que el número real sea mucho mayor", se lee en el informe de Infoblox.

Las consecuencias de este ataque pueden ser graves. Los atacantes pueden realizar actividades maliciosas bajo la apariencia del propietario legítimo, incluida la entrega de malware, campañas de phishing, suplantación de marca y exfiltración de datos. Con más de 1 millón de dominios objetivo explotables y múltiples métodos disponibles para detectar dichos dominios, el ataque es fácil de realizar, casi irreconocible y completamente prevenible, señalaron los investigadores.

Flujo de ataque de Sitting Ducks  (Infoblox)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos ataques se pueden prevenir porque son posibles debido a brechas en la administración de registros DNS y de nombres de dominio, considerando que las configuraciones incorrectas de DNS a menudo se pasan por alto como una superficie de ataque estratégica y los vectores de ataque publicados contra DNS se descartan como inevitables.

Para evitar los ataques de Sitting Ducks, los propietarios de dominios deben utilizar un proveedor de DNS autorizado e independiente de su registrador de dominios para evitar ataques de Sitting Ducks. Asegúrese de que los dominios y subdominios tengan delegación de servidores de nombres a proveedores de servicios no válidos y consulte sobre las mitigaciones de los proveedores de DNS para reducir el riesgo.

Fuente:
Hack Read
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario