Un error de DNS de MasterCard pasó desapercibido durante años

Iniciado por AXCESS, Enero 23, 2025, 09:35:16 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 23, 2025, 09:35:16 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El gigante de las tarjetas de pago MasterCard acaba de corregir un error evidente en la configuración de su servidor de nombres de dominio que podría haber permitido a cualquiera interceptar o desviar el tráfico de Internet de la empresa registrando un nombre de dominio no utilizado. La configuración incorrecta persistió durante casi cinco años hasta que un investigador de seguridad gastó 300 dólares para registrar el dominio y evitar que los cibercriminales lo tomaran.

Una búsqueda de DNS en el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el 14 de enero de 2025 muestra el nombre de dominio mal escrito No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Desde el 30 de junio de 2020 hasta el 14 de enero de 2025, uno de los servidores centrales de Internet que utiliza MasterCard para dirigir el tráfico de partes de la red No tienes permitido ver enlaces. Registrate o Entra a tu cuenta fue mal nombrado. No tienes permitido ver enlaces. Registrate o Entra a tu cuenta depende de cinco servidores compartidos del Sistema de nombres de dominio (DNS) en el proveedor de infraestructura de Internet Akamai [el DNS actúa como una especie de guía telefónica de Internet, al traducir los nombres de los sitios web a direcciones numéricas de Internet que son más fáciles de administrar para las computadoras].

Se supone que todos los nombres de servidor DNS de Akamai que utiliza MasterCard terminan en "akam.net", pero uno de ellos fue mal configurado para depender del dominio "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta".

Este pequeño, pero potencialmente crítico error tipográfico fue descubierto recientemente por Philippe Caturegli, fundador de la consultora de seguridad Seralys. Caturegli dijo que supuso que nadie había registrado aún el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que está bajo la jurisdicción de la autoridad de dominio de nivel superior para la nación de África occidental de Níger.

Caturegli dijo que le costó 300 dólares y casi tres meses de espera asegurar el dominio con el registro en Níger. Después de habilitar un servidor DNS en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, notó que cientos de miles de solicitudes DNS llegaban a su servidor cada día desde ubicaciones de todo el mundo. Aparentemente, MasterCard no era la única organización que había introducido una entrada DNS para incluir "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", pero era la más grande con diferencia.

Si hubiera habilitado un servidor de correo electrónico en su nuevo dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Caturegli probablemente habría recibido correos electrónicos desviados dirigidos a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta u otros dominios afectados. Si hubiera abusado de su acceso, probablemente podría haber obtenido certificados de cifrado de sitios web (certificados SSL/TLS) que estaban autorizados para aceptar y retransmitir el tráfico web de los sitios web afectados. Incluso podría haber recibido de forma pasiva las credenciales de autenticación de Microsoft Windows de las computadoras de los empleados de las empresas afectadas.

Pero el investigador dijo que no intentó hacer nada de eso. En cambio, alertó a MasterCard de que el dominio era suyo si lo querían, copiando a este autor en sus notificaciones. Unas horas más tarde, MasterCard reconoció el error, pero dijo que nunca hubo una amenaza real para la seguridad de sus operaciones.

"Hemos investigado el asunto y no había ningún riesgo para nuestros sistemas", escribió un portavoz de MasterCard. "Este error tipográfico ya ha sido corregido".

Mientras tanto, Caturegli recibió una solicitud enviada a través de Bugcrowd, un programa que ofrece recompensas financieras y reconocimiento a los investigadores de seguridad que encuentren fallas y trabajen en privado con el proveedor afectado para solucionarlas. El mensaje sugería que su divulgación pública del error de DNS de MasterCard a través de una publicación en LinkedIn (después de haber asegurado el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) no estaba alineada con las prácticas de seguridad éticas, y transmitió una solicitud de MasterCard para que se eliminara la publicación.

Caturegli dijo que, si bien tiene una cuenta en Bugcrowd, nunca envió nada a través del programa Bugcrowd y que informó este problema directamente a MasterCard.

"No revelé este problema a través de Bugcrowd", escribió Caturegli en respuesta. "Antes de hacer cualquier divulgación pública, me aseguré de que el dominio afectado estuviera registrado para evitar la explotación, mitigando cualquier riesgo para MasterCard o sus clientes. Esta acción, que tomamos a nuestro propio cargo, demuestra nuestro compromiso con las prácticas de seguridad éticas y la divulgación responsable".

La mayoría de las organizaciones tienen al menos dos servidores de nombres de dominio autorizados, pero algunas manejan tantas solicitudes de DNS que necesitan distribuir la carga en dominios de servidores DNS adicionales. En el caso de MasterCard, esa cifra es cinco, por lo que es lógico pensar que si un atacante lograra hacerse con el control de uno solo de esos dominios, solo podría ver aproximadamente una quinta parte de las solicitudes DNS totales que llegan.

Pero Caturegli dijo que la realidad es que muchos usuarios de Internet dependen, al menos en cierta medida, de reenvíos de tráfico públicos o de resolutores DNS como Cloudflare y Google.

"Por lo tanto, todo lo que necesitamos es que uno de estos resolutores consulte nuestro servidor de nombres y almacene en caché el resultado", dijo Caturegli. Al configurar sus registros de servidor DNS con un TTL o "Time To Live" largo (una configuración que puede ajustar la vida útil de los paquetes de datos en una red), las instrucciones envenenadas de un atacante para el dominio de destino pueden ser propagadas por grandes proveedores de la nube.

"Con un TTL largo, podemos redirigir MUCHO más que solo 1/5 del tráfico", dijo.

El investigador dijo que esperaba que el gigante de las tarjetas de crédito le agradeciera, o al menos se ofreciera a cubrir el costo de comprar el dominio.

"Obviamente no estamos de acuerdo con esta evaluación", escribió Caturegli en una publicación posterior en LinkedIn sobre la declaración pública de MasterCard. "Pero dejaremos que usted juzgue: aquí se muestran algunas de las búsquedas de DNS que registramos antes de informar el problema".

Caturegli publicó esta captura de pantalla de los dominios de MasterCard que estaban potencialmente en riesgo debido al dominio mal configurado
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como muestra la captura de pantalla anterior, el servidor DNS mal configurado que encontró Caturegli involucraba el subdominio de MasterCard No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. No está claro exactamente cómo utiliza MasterCard este subdominio, sin embargo, sus convenciones de nombres sugieren que los dominios corresponden a servidores de producción en el servicio en la nube Azure de Microsoft. Caturegli dijo que todos los dominios se resuelven en direcciones de Internet en Microsoft.

"No sea como Mastercard", concluyó Caturegli en su publicación de LinkedIn. "No descarte el riesgo y no deje que su equipo de marketing se encargue de las divulgaciones de seguridad".

Una nota final: el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta ya había sido registrado anteriormente, en diciembre de 2016, por alguien que usaba la dirección de correo electrónico No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. El gigante de búsqueda ruso Yandex informa que esta cuenta de usuario pertenece a un "Ivan I." de Moscú. Los registros DNS pasivos de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta muestran que entre 2016 y 2018 el dominio estuvo conectado a un servidor de Internet en Alemania y que se dejó que el dominio expirara en 2018.

Esto es interesante, dado un comentario en la publicación de LinkedIn de Caturegli de un ex empleado de Cloudflare que vinculó a un informe del que fue coautor sobre un dominio con error tipográfico similar aparentemente registrado en 2017 para organizaciones que pueden haber escrito incorrectamente su servidor DNS de AWS como "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" en lugar de "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta". DomainTools informa que este dominio con error tipográfico también estaba registrado para un usuario de Yandex ([email protected]) y estaba alojado en el mismo ISP alemán: Team Internet (AS61969).

Fuente:
KrebsonSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario