Lỗi DNS của MasterCard không bị phát hiện suốt nhiều năm

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 2025-01-23 | 1 bình luận | Chia sẻ qua WhatsApp

  • Lỗi cấu hình DNS của MasterCard

    • MasterCard đã sửa một lỗi trong cấu hình máy chủ tên miền.
    • Lỗi này có thể cho phép đăng ký một tên miền không còn được sử dụng để chặn hoặc chuyển hướng lưu lượng Internet.
    • Lỗi đã tồn tại khoảng 5 năm, và một nhà nghiên cứu bảo mật đã bỏ ra $300 để đăng ký tên miền nhằm ngăn tội phạm mạng lợi dụng.

  • Quá trình phát hiện và khắc phục lỗi

    • Vào ngày 14 tháng 1 năm 2025, một truy vấn DNS đối với miền az.mastercard.com đã phát hiện tên miền sai là a22-65.akam.ne.
    • MasterCard sử dụng máy chủ DNS của Akamai, và tất cả tên máy chủ đều phải kết thúc bằng akam.net, nhưng một máy chủ đã bị cấu hình nhầm thành akam.ne.
    • Tư vấn viên bảo mật Philippe Caturegli đã phát hiện lỗi này và đăng ký miền akam.ne để xử lý vấn đề.

  • Rủi ro tiềm ẩn và cách ứng phó

    • Sau khi thiết lập máy chủ DNS cho miền akam.ne, Caturegli đã nhận được hàng trăm nghìn yêu cầu DNS từ khắp thế giới.
    • Nếu thiết lập máy chủ email, ông có thể đã nhận được email gửi đến MasterCard.com hoặc các miền khác bị ảnh hưởng.
    • Caturegli đã thông báo vấn đề này cho MasterCard và tạo điều kiện để công ty tiếp quản tên miền.

  • Phản ứng của MasterCard

    • MasterCard khẳng định lỗi này không gây ra mối đe dọa đối với an ninh hệ thống.
    • Thông qua Bugcrowd, Caturegli đã nhận được yêu cầu xóa bài đăng trên LinkedIn.
    • Caturegli giải thích rằng ông không báo cáo vấn đề qua Bugcrowd mà đã đăng ký tên miền để ngăn chặn việc bị lạm dụng.

  • Tầm quan trọng của máy chủ DNS

    • Hầu hết các tổ chức đều có ít nhất hai máy chủ tên miền có thẩm quyền.
    • MasterCard sử dụng năm máy chủ DNS, nên ngay cả khi chỉ kiểm soát một tên miền, cũng chỉ có thể thấy khoảng 1/5 tổng số truy vấn DNS.
    • Caturegli cho biết nhiều người dùng sử dụng public traffic forwarder hoặc DNS resolver, nên nếu một resolver lưu cache kết quả sai, có thể chuyển hướng được nhiều lưu lượng hơn.

  • Ý kiến bổ sung của Caturegli

    • Caturegli kỳ vọng MasterCard sẽ cảm ơn hoặc hoàn lại chi phí mua tên miền.
    • Ông đã phản bác tuyên bố công khai của MasterCard trên LinkedIn và chia sẻ nhật ký tra cứu DNS.

  • Thông tin liên quan khác

    • Miền akam.ne lần đầu được đăng ký vào tháng 12 năm 2016 và hết hạn vào năm 2018.
    • Một miền gõ nhầm tương tự là awsdns-06.ne cũng đã được một người dùng Yandex đăng ký và được lưu trữ tại một ISP ở Đức.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-01-23
Ý kiến trên Hacker News

  • Một ý kiến liên quan đến nghiên cứu cho rằng nameserver có thể đăng ký công khai là trường hợp hiếm, còn việc ánh xạ trực tiếp tới địa chỉ IP của nhà cung cấp đám mây thì phổ biến hơn

    • Do phạm vi và khả năng hiển thị hạn chế của dịch vụ đám mây, doanh nghiệp có nhiều khả năng tồn tại lỗ hổng ở các tên miền phụ
    • Các chương trình bug bounty thường không công nhận việc chiếm đoạt tên miền phụ là một mối đe dọa bảo mật hợp lệ
    • Đã có những trường hợp thông tin nhạy cảm bị rò rỉ do các sai sót trong quản lý cấu hình như vậy
    • Môi trường công bố lỗ hổng hiện tại khiến doanh nghiệp dễ dàng không thừa nhận lỗ hổng
    • Những lỗ hổng như vậy có thể bị khai thác để cấp chứng chỉ TLS

  • Câu chuyện liên quan đến Bugcrowd là một chi tiết ngoài dự đoán

    • Có thể Bugcrowd đang cố điều chỉnh hành vi bên ngoài nền tảng, hoặc Mastercard đang giả mạo nhân viên Bugcrowd
    • Cả hai khả năng đều không mong muốn

  • Các nhà nghiên cứu bảo mật có thể xâm nhập sâu hơn để thu thập thêm bằng chứng

    • Cần trả thưởng đủ cho nhà nghiên cứu để mức độ tác động được giảm nhẹ
    • Những nỗ lực nhằm đàn áp nhà nghiên cứu có thể là hành động của một nhân viên PR xử lý sai cách

  • Tên miền akam.ne trước đây từng được đăng ký, và đã có các trường hợp đăng ký những tên miền gõ nhầm tương tự

    • Những tên miền này từng được kết nối với các máy chủ internet ở Đức

  • Tại Ukraine, chứng chỉ SSL của MasterCard đã hết hạn, gây ra sự cố với các giao dịch trực tuyến

    • Chứng chỉ không được gia hạn và dịch vụ âm thầm ngừng hoạt động

  • Sai sót của MasterCard có thể gây ra vấn đề khi tên miền chỉ khác TLD gốc đúng một ký tự

    • Nếu những tên miền như vậy không tồn tại thì sẽ không phát sinh các truy vấn DNS sai

  • Một sự cố bảo mật đã xảy ra do thay đổi tên miền của một nhà cung cấp sử dụng Vercel

    • Ngay khi tên miền trở lại trạng thái có thể đăng ký tự do, kẻ tấn công đã chiếm lấy và phát tán mã độc

  • Lẽ ra phải cung cấp tên miền cho Akamai, và Akamai có trách nhiệm xử lý việc đó

  • Ngoài MasterCard, các ngân hàng ở Canada và Canada Post cũng từng gặp vấn đề tương tự

    • Canada Post đã khắc phục vấn đề, nhưng phía ngân hàng thì đã sửa rồi lại để tái diễn