7 de abril de 2016

Para la penetraciónón ilegal a los sistemas informáticos y las redes remotas los malintencionados frecuentemente usan las vulnerabilidades de software. Pero una configuración incorrecta de aplicaciones de servidor y otros medios software puede causar problemas bastante importantes. Los expertos de la empresa Doctor Web detectaron un error de configuración en el hardware de una empresa importante que ofrece a sus clientes un servicio de hosting DNS.

Como sabemos, los servidores DNS (Domain Name System) se encargan de direccionamiento en Internet, ofreciendo a sus clientes la recepción de la información sobre los dominios. Los dueños del dominio o el personal de la empresa a la cual pertenece el sitio web pueden administrar los servidores DNS, pero muchas veces otras empresas comerciales se encargan de esta tarea. Una de ellas es easyDNS Technologies, Inc. (easydns.com), cuyos clientes son múltiples recursos en Internet populares y frecuentemente visitados, así mismo, los portales que forman parte del TOP del ranking Alexa.net, tales como informer.com и php.net. Además de otros servicios, la empresa easyDNS Technologies, Inc. alquila los servidores DNS a sus usuarios— este servicio es popular entre los clientes que no desean mantener y administrar sus servidores de forma autónoma.

Los expertos de la empresa antivirus Doctor Web han podido detectar que uno de los servidores DNS de la empresa easyDNS Technologies, Inc. no está configurado correctamente, a resultas de lo cual procesa las solicitudes AXFR que llegan de cualquier fuente externa para transferir la zona de dominio.- AXFR — es un tipo de transacción usado para la replicación de las bases de datos entre los servidores DNS. Pero en la práctica quiere decir que las empresas que usan los servicios de easyDNS Technologies, Inc. abren a todo el mundo el listado de los subdominios registrados, en particular, de uso interno. Estos dominios pueden usarse, por ejemplo, para organizar los servidores web internos no públicos, sistemas de control de versiones, bug-trackers, varios servicios de supervisión, los recursos wiki etc. Usando un listado de direcciones similar, para los malintencionados es mucho más fácil investigar la red de la víctima potencial para buscar los puntos débiles o no protegidos.

El mismo hecho de transferencia de la zona de dominio de ninguna forma puede dañar las finanzas de una empresa que usa el servidor DNS vulnerable, pero una solicitud AXFR procesada correctamente les ofrece a los intrusos potenciales la información exhaustiva sobre las herramientas y los entornos de desarrollo de la empresa. Por ejemplo, los ciberdelincuentes pueden usar la versión beta del sitio web de la empresa, valorar el número de las direcciones IP usadas, intentar averiguar los datos de autenticación para el sistema de control de servidores, otros recursos internos. Todo esto puede ser relativamente peligroso, porque algunos administradores de sistemas prestan mucha atención solo a la protección del sitio web principal de la empresa y no a los servicios internos no públicos a los cuales los usuarios de Internet normalmente no tienen acceso. Si estos recursos «de servicio» están en una zona IP de confianza, usan el software con vulnerabilidades conocidas, admiten el registro público de usuarios o contienen la información de depuración en el código de las páginas web, todo esto puede ayudar a los malintencionados que intentan obtener acceso no sancionado a los datos confidenciales.

Por supuesto, la configuración incorrecta de los servidores DNS que permite procesar las solicitudes AXFR externas no es nada nuevo en el ámbito de seguridad informática: es un fenómeno muy popular de categoría "security misconfiguration". Pero al mismo tiempo, el mecanismo de búsqueda de servidores DNS capaces de procesar estas solicitudes, al igual que la tecnología de detección de subdominios usando los recursos de sistemas de búsqueda, han sido automatizados hace mucho. En particular, todas estas funciones fueron realizadas en la utilidad dnsenum que forma parte del conjunto de herramientas de la distribución especial Kali Linux destinado para hacer las «pruebas de penetración», lo que confirma el interés en este vector de ataques. Por lo tanto, podemos deducir que la delegación de tareas de administración de servidores DNS a terceras empresas es una práctica muy bien fundamentada, pero los mismos dueños de recursos en Internet deben preocuparse de su seguridad. El principio «confía pero comprueba» es muy actual aquí.

Los expertos de la empresa Doctor Web informaron a la empresa easyDNS Technologies, Inc. sobre la vulnerabilidad detectada en la configuración de su servidor DNS, y actualmente se toman las medidas para corregir la configuración incorrecta.