Erro de DNS da Mastercard passou anos sem ser detectado

 (krebsonsecurity.com)
1 pontos por GN⁺ 2025-01-23 | 1 comentários | Compartilhar no WhatsApp

  • Erro na configuração de DNS da Mastercard

    • A Mastercard corrigiu um erro na configuração de seus servidores de nomes de domínio.
    • Devido a esse erro, era possível registrar um nome de domínio não utilizado para interceptar ou desviar tráfego da internet.
    • O problema persistiu por cerca de 5 anos, e um pesquisador de segurança gastou US$ 300 para registrar o domínio e impedir que cibercriminosos o explorassem.

  • Descoberta e correção do erro

    • Em 14 de janeiro de 2025, uma consulta DNS ao domínio az.mastercard.com revelou o nome de domínio incorreto a22-65.akam.ne.
    • A Mastercard usa os servidores DNS da Akamai, e todos os nomes de servidor deveriam terminar em "akam.net", mas um deles foi configurado incorretamente como "akam.ne".
    • O consultor de segurança Philippe Caturegli descobriu o erro e registrou o domínio akam.ne para mitigar o problema.

  • Riscos potenciais e resposta

    • Após configurar um servidor DNS para o domínio akam.ne, Caturegli passou a receber centenas de milhares de requisições DNS de todo o mundo.
    • Se tivesse configurado um servidor de e-mail, ele poderia ter recebido mensagens destinadas a MasterCard.com ou a outros domínios afetados.
    • Caturegli informou a Mastercard sobre o problema e permitiu que a empresa assumisse o controle do domínio.

  • Reação da Mastercard

    • A Mastercard afirmou que o erro não representou uma ameaça à segurança de seus sistemas.
    • Por meio da Bugcrowd, Caturegli recebeu um pedido para remover sua publicação no LinkedIn.
    • Caturegli explicou que não reportou o problema via Bugcrowd e que registrou o domínio para evitar exploração maliciosa.

  • Importância dos servidores DNS

    • A maioria das organizações mantém pelo menos dois servidores de nomes autoritativos.
    • A Mastercard usa cinco servidores DNS, e controlar apenas um domínio permitiria ver cerca de 1/5 de todas as consultas DNS.
    • Caturegli explicou que muitos usuários utilizam encaminhadores públicos de tráfego ou resolvedores DNS, de modo que, se um resolvedor armazenar em cache um resultado incorreto, ainda mais tráfego pode ser desviado.

  • Comentários adicionais de Caturegli

    • Caturegli esperava que a Mastercard demonstrasse gratidão ou reembolsasse o custo da compra do domínio.
    • Em resposta à declaração pública da Mastercard, ele contestou a posição da empresa no LinkedIn e compartilhou registros de consultas DNS.

  • Outras informações relacionadas

    • O domínio akam.ne foi registrado pela primeira vez em dezembro de 2016 e expirou em 2018.
    • Um domínio com erro de digitação semelhante, awsdns-06.ne, também foi registrado por um usuário do Yandex e hospedado por um ISP da Alemanha.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-01-23
Comentários do Hacker News

  • Opinião relacionada à pesquisa: servidores de nomes com registro público são raros, e é mais comum haver mapeamento direto para endereços IP de provedores de nuvem

    • Devido ao alcance dos serviços em nuvem e à falta de visibilidade, empresas têm maior probabilidade de ter vulnerabilidades em subdomínios
    • Programas de bug bounty frequentemente não reconhecem takeover de subdomínio como uma ameaça de segurança válida
    • Houve casos em que erros desse tipo na gestão de configuração causaram vazamento de informações sensíveis
    • O ambiente atual de divulgação de vulnerabilidades facilita que empresas não reconheçam a vulnerabilidade
    • Essas vulnerabilidades podem ser exploradas para emitir certificados TLS

  • A história relacionada ao Bugcrowd é inesperada

    • Pode ser que o Bugcrowd esteja tentando regular comportamentos fora da plataforma, ou que a Mastercard esteja se passando por funcionários do Bugcrowd
    • Nenhuma das duas opções é desejável

  • É possível que o pesquisador de segurança se aprofunde mais para coletar mais evidências

    • Deve-se oferecer compensação suficiente ao pesquisador para que o impacto seja minimizado
    • Tentar reprimir o pesquisador pode ser atitude de uma equipe de PR agindo de forma equivocada

  • O domínio akam.ne já foi registrado anteriormente, e houve casos de registro de domínios com erros de digitação semelhantes

    • Esses domínios estavam conectados a servidores de internet na Alemanha

  • Na Ucrânia, um certificado SSL da MasterCard expirou, causando problemas em transações online

    • O certificado não foi renovado, e o serviço foi interrompido silenciosamente

  • Devido a um erro da MasterCard, podem surgir problemas quando o domínio difere do TLD original por apenas uma letra

    • Se esse domínio não existisse, não haveria solicitações DNS incorretas

  • Um incidente de segurança ocorreu por causa da mudança de domínio de um fornecedor que usava a Vercel

    • Assim que o domínio voltou para o pool, um invasor o adquiriu e distribuiu malware

  • O nome de domínio deveria ter sido fornecido à Akamai, e a Akamai tem a responsabilidade de lidar com isso

  • Além da MasterCard, problemas semelhantes também ocorreram em bancos do Canadá e no Canada Post

    • O Canada Post resolveu o problema, mas um banco resolveu e depois voltou a causar o problema