¿Es la falta de entrada de DNS de comodín una vulnerabilidad de seguridad?

7

Un amigo de un amigo recibió un correo electrónico de un investigador de seguridad que parece legítimo. El investigador presentó varias vulnerabilidades, una de ellas se lee así

  

Vulnerabilidad # ...

     

Título: ¡Falta de entrada de DNS comodín!

     

Descripción:   El riesgo de que los atacantes conozcan el comodín que podría dar lugar a   Secuestro de DNS y otras amenazas. Hay varias cuestiones relacionadas con   esta. Lo más común que se me ocurre es el phishing. El comodín DNS es un   característica útil, y los phishers aparentemente lo utilizan para eludir   filtración. Los phishers utilizan DNS comodín para evitar el filtrado desde   el filtrado, en muchos casos, se basa en el nombre de host y el nombre de dominio exactos   combinaciones Con los comodines DNS los Phishers pueden generar cualquier número de   Diferentes URLs sobre la marcha y, a menudo, evaden la tecnología de filtrado.

     

En el lado del servidor web, un simple bit de código puede analizar la URL para encontrar   qué nombre de host se usó para aterrizar en un sitio, y luego redirigir el   visitantes según sea necesario.

     

Y no hay una entrada de comodín, por lo que el atacante enumera fácilmente tu   Subdominios secretos y públicos.

Luego viene una prueba de concepto con una salida de la herramienta de fuerza bruta del DNS knock .

Solo para aclarar, el sitio web en cuestión no tiene un comodín (*) en la entrada del DNS y no se permiten las subconsultas recursivas al DNS (por ejemplo, la consulta AXFR no funciona). El sitio web trata los subdominios de DNS como información pública de todos modos. OMI, esto no es una vulnerabilidad, es por diseño, solo quiero hacer una verificación cruzada con la comunidad.

Pregunta: ¿la falta de una entrada de comodín en el DNS es una vulnerabilidad de seguridad?

    
pregunta oleksii 28.11.2015 - 20:11
fuente

2 respuestas

4

Esto se reduce a la enumeración de subdominios:

Supongamos que tiene una entrada de DNS comodín y el atacante intenta los siguientes subdominios:

admin
cms
email
ssh
rdp
secure

Si tiene una entrada de DNS comodín, se devolverán los siguientes resultados.

admin.example.com - Exists
cms.example.com - Exists
email.example.com - Exists
ssh.example.com - Exists
rdp.example.com - Exists
secure.example.com - Exists

Si no lo hace, el atacante podría determinar qué sitios y servicios privados pueden existir:

admin.example.com - No entry
cms.example.com - No entry
email.example.com - No entry
ssh.example.com - No entry
rdp.example.com - No entry
secure.example.com - Exists

Es decir, el atacante ha logrado determinar que tiene un secure.example.com FQDN que puede hospedar algún tipo de servicio confidencial. Sin embargo, incluso con el primer ejemplo, el ataque podría descubrir si cada entrada se resuelve con la misma IP o no. Solo es realmente un problema con los servicios que incluyen un nombre de host en su protocolo, como http con el encabezado host y https con indicación de nombre de servidor (SNI). Esto significa que un atacante tendría que descubrir dicho servicio y luego realizar una solicitud válida al dominio para determinar si tiene algún servicio allí (como solicitar cms.example.com en el primer ejemplo y configurar el encabezado de host correcto o el campo SNI) .

    
respondido por el SilverlightFox 30.11.2015 - 11:19
fuente
4

Según el contexto que ha proporcionado, no veo una amenaza importante.

Supongo que está ejecutando un servicio web bastante típico de Internet y, desde esa perspectiva, la explicación que proporcionó su investigador de seguridad parece un poco confusa.

  

Lo más común que se me ocurre es el phishing. El comodín DNS es muy útil   característica, y los phishers aparentemente lo utilizan para omitir el filtrado.

No veo cómo esto es una amenaza directa para usted, ya que es probable que un atacante no pueda modificar sus registros DNS. Puedo ver cómo podría ser una amenaza para sus usuarios (que son un subconjunto de usuarios de Internet en general) quienes podrían ser vulnerables al envenenamiento de DNS o al phishing en general, pero esto está muy lejos de su control.

  

Con los comodines de DNS, los Phishers pueden generar cualquier número de URL diferentes   sobre la marcha y, a menudo, evadir la tecnología de filtrado

Una vez más, esto es cierto ... pero solo en un dominio arbitrario que controlan, no en tu dominio.

  

Y no hay una entrada de comodín, por lo que el atacante enumera fácilmente tu   Subdominios secretos y públicos.

Supongo que quizás haya algo de validez aquí si a un atacante le resultara difícil distinguir entre un servicio legítimo y uno falso / honeypot. En la práctica, necesitaría una gran cantidad de servidores falsos que ejecutan servicios falsos para que sea mucho más difícil para un atacante identificar el legítimo.

Además, hay más efectivo maneras de proteger los servicios públicos, además de simplemente ocultarlos más.

Es posible que haya vectores de ataque adicionales para considerar si su escenario no es lo que asumí. Por ejemplo, si está ejecutando una red interna con DNS privado que sirve registros para dominios que se pueden resolver públicamente y que otra persona podría controlar. Sin embargo, esto no suena como el caso.

    
respondido por el thexacre 28.11.2015 - 20:50
fuente

Lea otras preguntas en las etiquetas