Для незаконного проникновения в компьютерные системы и удаленные сети злоумышленники нередко используют уязвимости в программном обеспечении. Однако серьезным источником проблем порой могут стать неправильные настройки серверных приложений или других программных средств. Специалисты компании «Доктор Веб» обнаружили ошибку в конфигурации оборудования одной из крупных компаний, предоставляющих своим клиентам услугу DNS-хостинга.
Как известно, серверы DNS (Domain Name System) отвечают за адресацию в Интернете, обеспечивая клиентам получение информации о доменах. Администрированием DNS-серверов могут заниматься владельцы домена или сотрудники организации, которой принадлежит веб-сайт, использующий этот домен, однако зачастую подобная задача передается другим коммерческим компаниям. Одной из таких фирм является easyDNS Technologies, клиентами которой являются многие популярные и посещаемые интернет-ресурсы, в том числе порталы, входящие в ТОП рейтинга Alexa.net, такие как informer.com и php.net. Помимо прочих сервисов компания easyDNS Technologies предоставляет своим пользователям в аренду DNS-серверы — эта услуга востребована клиентами, которые не желают сами заниматься их поддержкой и администрированием.
Специалистам антивирусной компании «Доктор Веб» удалось установить, что один из DNS-серверов компании easyDNS Technologies настроен некорректно, в результате чего обрабатывает поступающие из любых внешних источников AXFR-запросы на передачу доменной зоны. AXFR — это вид транзакции, используемый в том числе для репликации баз данных между DNS-серверами. На практике это означает, что компании, пользующиеся услугами easyDNS Technologies, открывают всему миру список зарегистрированных ими поддоменов, в частности, используемых для внутренних целей. Такие домены могут быть задействованы, например, для организации непубличных внутренних веб-серверов, систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов, и т. д. С использованием подобного списка адресов злоумышленникам становится значительно проще исследовать сеть потенциальной жертвы для поиска слабых или незащищенных мест.
Сам по себе факт передачи доменной зоны не способен причинить какой-либо финансовый ущерб организации, эксплуатирующей уязвимый DNS-сервер, однако успешно обработанный AXFR-запрос предоставляет потенциальным взломщикам избыточную информацию об используемом этой компанией инструментарии и средствах разработки. Например, киберпреступники могут ознакомиться с бета-версией сайта фирмы, оценить количество задействованных IP-адресов, попытаться подобрать аутентификационные данные к системе контроля версий, другим внутренним ресурсам. Все это может представлять определенную опасность, поскольку многие системные администраторы уделяют повышенное внимание защите лишь основного веб-сайта компании в ущерб внутренним непубличным сервисам, к которым пользователи Интернета, как правило, не имеют доступа. Если такие «служебные» ресурсы располагаются в доверенной IP-зоне, используют устаревшее программное обеспечение с известными уязвимостями, допускают открытую регистрацию пользователей или содержат отладочную информацию в коде веб-страниц, все это может стать неплохим подспорьем для злоумышленников, пытающихся получить несанкционированный доступ к конфиденциальным данным.
Безусловно, некорректная настройка DNS-серверов, позволяющая обрабатывать внешние AXFR-запросы, не является чем-то новым в сфере информационной безопасности: это весьма распространенное явление, которое можно отнести к категории «security misconfiguration». Вместе с тем механизм поиска DNS-серверов, способных обрабатывать такие запросы, наряду с технологией обнаружения поддоменов с применением ресурсов поисковых систем давно автоматизированы. В частности, все эти функции реализованы в утилите dnsenum, входящей в набор инструментов специального дистрибутива Kali Linux, предназначенного для выполнения «тестов на проникновение», что свидетельствует об интересе к такому вектору атак. Исходя из этого можно сделать вывод: делегирование задач по администрированию DNS-серверов сторонним компаниям — вполне обоснованная практика, однако заботиться о собственной безопасности должны все-таки сами владельцы интернет-ресурсов. Принцип «доверяй, но проверяй» в этом отношении весьма актуален.
Специалисты «Доктор Веб» информировали компанию easyDNS Technologies о выявленной уязвимости в конфигурации их DNS-сервера, и в настоящий момент принимаются меры по исправлению некорректных настроек.