Mastercard-DNS-Fehler blieb jahrelang unentdeckt

 (krebsonsecurity.com)
1 Punkte von GN⁺ 2025-01-23 | 1 Kommentare | Auf WhatsApp teilen

  • Fehler in der DNS-Konfiguration von MasterCard

    • MasterCard hat einen Fehler in der Konfiguration seiner Domain Name Server behoben.
    • Durch diesen Fehler konnte ungenutzte Domainnamen registrieren werden, um Internet-Traffic abzufangen oder umzuleiten.
    • Der Fehler bestand etwa fünf Jahre lang, und ein Sicherheitsforscher registrierte die Domain für 300 US-Dollar, damit Cyberkriminelle sie nicht missbrauchen konnten.

  • Entdeckung des Fehlers und Behebungsprozess

    • Am 14. Januar 2025 wurde bei einer DNS-Abfrage für die Domain az.mastercard.com der falsche Domainname a22-65.akam.ne entdeckt.
    • MasterCard verwendet die DNS-Server von Akamai, und alle Servernamen müssten auf akam.net enden, doch ein Server war fälschlich als akam.ne konfiguriert.
    • Der Sicherheitsberater Philippe Caturegli entdeckte diesen Fehler und behob das Problem, indem er die Domain akam.ne registrierte.

  • Potenzielle Risiken und Reaktion

    • Nachdem Caturegli einen DNS-Server für die Domain akam.ne eingerichtet hatte, erhielt er weltweit Hunderttausende DNS-Anfragen.
    • Hätte er einen E-Mail-Server eingerichtet, hätte er E-Mails empfangen können, die an MasterCard.com oder andere betroffene Domains gerichtet waren.
    • Caturegli informierte MasterCard über das Problem und ermöglichte dem Unternehmen, die Domain zu übernehmen.

  • Reaktion von MasterCard

    • MasterCard erklärte, dass dieser Fehler keine Bedrohung für die Systemsicherheit dargestellt habe.
    • Über Bugcrowd wurde Caturegli gebeten, seinen LinkedIn-Beitrag zu löschen.
    • Caturegli erklärte, dass er das Problem nicht über Bugcrowd gemeldet habe, sondern die Domain registriert habe, um Missbrauch zu verhindern.

  • Die Bedeutung von DNS-Servern

    • Die meisten Organisationen verfügen über mindestens zwei autoritative Domain Name Server.
    • MasterCard verwendet fünf DNS-Server, und selbst bei Kontrolle über nur eine Domain wären nur etwa ein Fünftel aller DNS-Anfragen sichtbar gewesen.
    • Caturegli erklärte, dass viele Nutzer öffentliche Traffic-Forwarder oder DNS-Resolver verwenden; wenn ein einzelner Resolver ein falsches Ergebnis cacht, kann noch mehr Traffic umgeleitet werden.

  • Weitere Anmerkungen von Caturegli

    • Caturegli hatte erwartet, dass MasterCard sich bedanken oder die Kosten für den Domainkauf erstatten würde.
    • Als Reaktion auf die öffentliche Stellungnahme von MasterCard widersprach er auf LinkedIn und teilte DNS-Abfrageprotokolle.

  • Weitere relevante Informationen

    • Die Domain akam.ne wurde erstmals im Dezember 2016 registriert und lief 2018 ab.
    • Eine ähnliche Tippfehler-Domain, awsdns-06.ne, wurde ebenfalls von einem Yandex-Nutzer registriert und bei einem deutschen ISP gehostet.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-01-23
Hacker-News-Kommentare

  • Ein Kommentar zur Forschung besagt, dass öffentlich registrierbare Nameserver selten sind und eine direkte Zuordnung zu IP-Adressen von Cloud-Anbietern häufiger vorkommt

    • Aufgrund des Umfangs von Cloud-Diensten und mangelnder Sichtbarkeit haben Unternehmen mit höherer Wahrscheinlichkeit Schwachstellen in Subdomains
    • Bug-Bounty-Programme erkennen die Übernahme von Subdomains oft nicht als gültige Sicherheitsbedrohung an
    • Es gab Fälle, in denen durch solche Fehler in der Konfigurationsverwaltung sensible Informationen offengelegt wurden
    • Das derzeitige Umfeld für die Offenlegung von Schwachstellen macht es Unternehmen leicht, Schwachstellen nicht anzuerkennen
    • Solche Schwachstellen können missbraucht werden, um TLS-Zertifikate auszustellen

  • Die Geschichte im Zusammenhang mit Bugcrowd ist unerwartet

    • Entweder versucht Bugcrowd, Verhalten außerhalb der Plattform zu regulieren, oder Mastercard gibt sich als Bugcrowd-Mitarbeiter aus
    • Beide Optionen sind nicht wünschenswert

  • Ein Sicherheitsforscher könnte tiefer eindringen, um mehr Beweise zu sammeln

    • Dem Forscher sollte eine ausreichende Belohnung gezahlt werden, damit die Auswirkungen heruntergespielt werden
    • Der Versuch, den Forscher zu unterdrücken, könnte das Verhalten eines fehlgeleiteten PR-Mitarbeiters sein

  • Die Domain akam.ne wurde bereits früher registriert, und es gab Fälle, in denen ähnliche Tippfehler-Domains registriert wurden

    • Diese Domains waren mit Internetservern in Deutschland verbunden

  • In der Ukraine lief das SSL-Zertifikat von MasterCard ab, was zu Problemen bei Online-Transaktionen führte

    • Das Zertifikat wurde nicht erneuert, und der Dienst fiel stillschweigend aus

  • Durch einen Fehler von MasterCard kann es zu Problemen kommen, wenn sich die Domain nur um einen Buchstaben von der ursprünglichen TLD unterscheidet

    • Wenn eine solche Domain nicht existieren würde, gäbe es keine fehlerhaften DNS-Anfragen

  • Durch eine Domainänderung eines Vendors, der Vercel verwendet, kam es zu einem Sicherheitsvorfall

    • Sobald die Domain wieder in den Pool zurückkehrte, übernahm ein Angreifer sie und verteilte Malware

  • Der Domainname hätte Akamai übergeben werden müssen, und Akamai trägt die Verantwortung dafür

  • Neben MasterCard traten ähnliche Probleme auch bei kanadischen Banken und bei Canada Post auf

    • Canada Post hat das Problem behoben, aber bei den Banken wurde es behoben und trat dann erneut auf