WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hơn 60.000 Parked Domains có nguy cơ bị tấn công AWS
MarkMonitor, một công ty đăng ký tên miền, đã để lại hơn 60.000 parked domains (tên miền trỏ hướng) có nguy cơ bị tấn công.
MarkMonitor, hiện là một phần của Clarivate, là một công ty quản lý tên miền hỗ trợ thiết lập và bảo vệ cho các thương hiệu lớn nhất thế giới – với hàng tỷ người sử dụng.
Ian Carroll, một kỹ sư bảo mật đã thấy tập lệnh tự động của mình thông báo hàng trăm tên miền thuộc các doanh nghiệp khác nhau bị tấn công tên vào đầu tuần này. Sau đó, Carroll cùng Nagli và d0xing, truy tìm nguồn gốc của lỗ hổng bảo mật. MarkMonitor là công ty đăng ký cho tất cả các miền.
Việc tiếp quản miền (phụ) phát sinh khi một tác nhân trái phép được phép có thể cung cấp nội dung trên tên miền mà họ không sở hữu hoặc kiểm soát. Điều này có thể xảy ra, chẳng hạn, nếu tên miền chứa mục nhập DNS tên chuẩn (CNAME) trỏ đến một máy chủ lưu trữ không cung cấp bất kỳ nội dung nào cho nó. Điều này thường xảy ra khi trang web chưa được khởi chạy hoặc khi máy chủ ảo đã bị rút khỏi nhà cung cấp dịch vụ lưu trữ, nhưng bản ghi DNS của miền vẫn liên kết với máy chủ.
Sự cố đã ảnh hưởng đến hơn 60.000 miền, kéo dài chưa đầy một giờ.
Sau khi Carroll gửi email cho MarkMonitor, nhà nghiên cứu đã không nhận được phản hồi. Tuy nhiên, ông nhận thấy rằng các tên miền trước đây gặp lỗi S3 "bucket not found" dần dần bắt đầu hiển thị trang đích MarkMonitor.
"Sau khi tôi gửi email tới [email protected] mà không được xác nhận, các miền đã ngừng trỏ tới S3 sau hơn một giờ. Tôi đã xác nhận quyền sở hữu hơn 800 tên miền gốc trong khung thời gian này và các nhà nghiên cứu khác cũng có số lượng miền được xác nhận tương tự". Carroll viết
Mối quan tâm chính của Carroll là có tới 62.000 tên miền được sử dụng tại MarkMonitor có thể bị xâm nhập và khai thác để lừa đảo.
Theo MarkMonitor, công ty đã nhanh chóng đảo ngược cài đặt nhà cung cấp DDoS để gửi lưu lượng truy cập đến trang trỏ hướng của máy chủ web được lưu trữ nội bộ ngay sau khi hành vi không mong muốn được phát hiện. Toàn bộ quá trình phát hiện, điều tra và khắc phục chỉ mất chưa đầy một giờ.
Người phát ngôn của MarkMonitor kết luận, "Chúng tôi cũng đang đánh giá các cơ chế để được cảnh báo nhanh hơn về bất kỳ phản hồi lỗi HTTP nào từ các miền được sử dụng dịch vụ của chúng tôi, điều này có thể cho phép chúng tôi xác định và phản ứng với hành vi không mong muốn nhanh hơn nữa trong tương lai".
MarkMonitor, hiện là một phần của Clarivate, là một công ty quản lý tên miền hỗ trợ thiết lập và bảo vệ cho các thương hiệu lớn nhất thế giới – với hàng tỷ người sử dụng.
Việc tiếp quản miền (phụ) phát sinh khi một tác nhân trái phép được phép có thể cung cấp nội dung trên tên miền mà họ không sở hữu hoặc kiểm soát. Điều này có thể xảy ra, chẳng hạn, nếu tên miền chứa mục nhập DNS tên chuẩn (CNAME) trỏ đến một máy chủ lưu trữ không cung cấp bất kỳ nội dung nào cho nó. Điều này thường xảy ra khi trang web chưa được khởi chạy hoặc khi máy chủ ảo đã bị rút khỏi nhà cung cấp dịch vụ lưu trữ, nhưng bản ghi DNS của miền vẫn liên kết với máy chủ.
Sự cố đã ảnh hưởng đến hơn 60.000 miền, kéo dài chưa đầy một giờ.
Sau khi Carroll gửi email cho MarkMonitor, nhà nghiên cứu đã không nhận được phản hồi. Tuy nhiên, ông nhận thấy rằng các tên miền trước đây gặp lỗi S3 "bucket not found" dần dần bắt đầu hiển thị trang đích MarkMonitor.
"Sau khi tôi gửi email tới [email protected] mà không được xác nhận, các miền đã ngừng trỏ tới S3 sau hơn một giờ. Tôi đã xác nhận quyền sở hữu hơn 800 tên miền gốc trong khung thời gian này và các nhà nghiên cứu khác cũng có số lượng miền được xác nhận tương tự". Carroll viết
Mối quan tâm chính của Carroll là có tới 62.000 tên miền được sử dụng tại MarkMonitor có thể bị xâm nhập và khai thác để lừa đảo.
Theo MarkMonitor, công ty đã nhanh chóng đảo ngược cài đặt nhà cung cấp DDoS để gửi lưu lượng truy cập đến trang trỏ hướng của máy chủ web được lưu trữ nội bộ ngay sau khi hành vi không mong muốn được phát hiện. Toàn bộ quá trình phát hiện, điều tra và khắc phục chỉ mất chưa đầy một giờ.
Người phát ngôn của MarkMonitor kết luận, "Chúng tôi cũng đang đánh giá các cơ chế để được cảnh báo nhanh hơn về bất kỳ phản hồi lỗi HTTP nào từ các miền được sử dụng dịch vụ của chúng tôi, điều này có thể cho phép chúng tôi xác định và phản ứng với hành vi không mong muốn nhanh hơn nữa trong tương lai".
Nguồn: eHackingnews