17 de agosto de 2017

La empresa Doctor Web ya había informado de que la configuración incorrecta de servidores DNS junto con otros factores puede ser una de las posibles causas de compromiso del sirio web. La investigación realizada por nuestros analistas demostró que los problemas similares son actuales para muchas instituciones financieras rusas y algunas entidades públicas.

El sistema de nombres de dominio (DNS, Domain Name System) permite recibir la información sobre los dominios y proporciona el direccionamiento en Internet. Usando DNS, el software cliente, en particular, el navegador, detecta la dirección IP del recurso en Internet en función del- URL introducido. Normalmente los titulares de dominios administran los servidores DNS.

Muchos recursos en Internet, además del dominio básico de primer nivel usan varios dominios adicionales de tercer e incluso cuarto nivel. Por ejemplo, el dominio drweb.com usa los subdominios vms.drweb.ru donde se ubica el sitio web que permite escanear un enlace, un archivo o encontrar la descripción de un virus, free.drweb.ru — el dominio para la página web de la utilidad Dr.Web CureIt!, updates.drweb.com — la página del sistema de actualizaciones Dr.Web etc. Usando estos dominios, normalmente se realizan varios servicios técnicos y adicionales — los sistemas de administración y control del sitio web, los sistemas de la banca en línea, las interfaces web de servidores de correo y varios sitios web internos para el personal de la empresa. Así mismo, los subdominios pueden ser usados, por ejemplo, para organizar los sistemas de control de versiones, bug trackers, varios servicios de supervisión, los recursos wiki y otras necesidades.

Al realizar los ataques objetivo a los sitios web para comprometerles, los malintencionados primero recaban la información sobre el recurso de Internet objetivo. En particular, intentan detectar el tipo y la versión del servidor web usado para el sitio web, la versión del sistema de administración del contenido, el lenguaje de programación del «motor», y otra información técnica, así mismo, un listado de subdominios del dominio básico del sitio web atacado. Usando este listado, los malintencionados pueden intentar penetrar en la infraestructura del recurso de Internet a través de la «puerta trasera», al averiguar los datos de la cuenta y al autorizarse correctamente en algún servicio no público interno. Muchos administradores de sistemas no prestan bastante atención a la seguridad de estos recursos. Pero estos sitios web «internos» pueden usar el software obsoleto con vulnerabilidades conocidas, contener la información de depuración o permitir el registro abierto. Todo esto puede simplificar bastante la tarea de los malintencionados. Si los servidores DNS usados para el sitio web están configurados correctamente, los intrusos no pueden recibir la información sobre la zona de dominio por su solicitud. Pero en caso de configuración incorrecta de servidores DNS, la solicitud AXFR especial les permite a los ciberdelincuentes recibir los datos completos sobre los subdominios registrados en la zona de dominios. La configuración incorrecta de servidores DNS no es una vulnerabilidad, pero puede resultar ser la causa indirecta de compromiso del recurso en Internet.

Los analistas de Doctor Web realizaron la investigación de la configuración de los servidores DNS de algunos bancos rusos y entidades públicas. Se detectó que de unos 1000 dominios de los bancos rusos comprobados 89 entregan la zona de dominio en respuesta a la solicitud AXFR externa. La información correspondiente fue transferida al Centro de supervisión y respuesta a los ataques informáticos en el ámbito de crédito y finanzas del (FinCERT) Banco de Rusia. Además, la configuración incorrecta fue detectada en los sitios web de varias entidades públicas. La empresa Doctor Web recuerda a los administradores de sitios web que la configuración correcta de DNS es un factor capaz de proporcionar la seguridad de los recursos en Internet.