Redazione RHC : 3 Ottobre 2024 23:23
Gli esperti di Assetnote hanno recentemente identificato un problema su larga scala di spoofing delle query DNS nell’infrastruttura Internet cinese. Dall’analisi dei risolutori DNS di uno dei clienti più presenti in Cina è stato scoperto un comportamento insolito: molti sottodomini che portavano a indirizzi IP casuali .
Inizialmente l’anomalia veniva attribuita all’inoperabilità dei server DNS. Si sospettava che lo spoofing delle query fosse dovuto all’instabilità dei risolutori DNS o alle funzionalità degli algoritmi di bilanciamento del carico. Tuttavia, in seguito si è scoperto che il problema si verifica esclusivamente sui server situati in Cina.
Mentre inizialmente lo spoofing veniva osservato solo nei domini “.cn”, presto divenne chiaro che colpiva anche altre zone se i loro nomi venivano risolti tramite server DNS cinesi. I ricercatori hanno scoperto che le query ad alcuni sottodomini chiave innescano risposte DNS inaspettate. Ad esempio, le query DNS ai server AlibabaDNS spesso restituivano indirizzi IP instabili e le risposte stesse variavano a seconda delle parole chiave nei sottodomini. Anche risolvendo domini inesistenti era possibile ricevere risposte DNS inaspettate.
SCONTO ESTREMO DEL 50% FINO AL 31 Dicembre sul corso Dark Web & Cyber Threat Intelligence in E-learning version
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti
darà diritto ad uno sconto del 50% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nel corso del tempo, è stato stabilito che il problema non era limitato a un solo provider DNS. Lo spoofing delle query DNS è stato rilevato anche su server di altri provider, ad esempio Cloudflare China. Ciò indica che il problema è di natura sistemica ed è associato alle peculiarità del funzionamento DNS all’interno del Great Firewall cinese.
I ricercatori hanno poi scoperto diversi modi per utilizzare questa “funzionalità” per scopi dannosi. Il primo metodo riguarda il provider CDN Fastly. Se vengono rilevati indirizzi IP falsificati appartenenti all’infrastruttura Fastly, gli aggressori possono intercettare il traffico creando profili CDN utilizzando sottodomini falsi. Ciò consente a tutto il traffico di essere indirizzato ai server dell’aggressore.
Il secondo metodo è legato a una vulnerabilità nel cPanel che consente attacchi XSS su sottodomini contraffatti. Questo approccio consente inoltre di sfruttare potenzialmente lo spoofing DNS per attaccare gli utenti finali.
La capacità di intercettare il traffico ed eseguire attacchi XSS tramite spoofing DNS ha gravi conseguenze. In particolare, ciò consente agli aggressori di accedere ai cookie HTTPOnly e ad altri dati sensibili. Il rischio di un attacco tramite Fastly dipende tuttavia dal fatto che il dominio sia già stato aggiunto all’infrastruttura Fastly. Allo stesso tempo, gli attacchi XSS basati su cPanel sono più versatili, sebbene non forniscano l’accesso al cookie HTTPOnly.
I ricercatori ipotizzano che il comportamento rilevato sia legato ai tentativi di censura da parte del governo cinese. Lo spoofing DNS può far parte del Great Firewall cinese, che monitora e blocca le richieste a determinate risorse associate a server proxy, VPN, torrent e altri contenuti vietati.
Per ridurre al minimo i rischi, gli esperti raccomandano alle organizzazioni di spostare i server DNS al di fuori della Cina. Tuttavia, ciò potrebbe influire sulle prestazioni e sulla velocità dei siti per gli utenti cinesi. Inoltre, le aziende dovrebbero implementare la sicurezza web di base, come l’impostazione dei flag “Secure” e “HTTPOnly” per i cookie, per prevenire possibili attacchi agli utenti.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009