Gli esperti di Assetnote hanno recentemente identificato un problema su larga scala di spoofing delle query DNS nell’infrastruttura Internet cinese. Dall’analisi dei risolutori DNS di uno dei clienti più presenti in Cina è stato scoperto un comportamento insolito: molti sottodomini che portavano a indirizzi IP casuali .
Inizialmente l’anomalia veniva attribuita all’inoperabilità dei server DNS. Si sospettava che lo spoofing delle query fosse dovuto all’instabilità dei risolutori DNS o alle funzionalità degli algoritmi di bilanciamento del carico. Tuttavia, in seguito si è scoperto che il problema si verifica esclusivamente sui server situati in Cina.
Mentre inizialmente lo spoofing veniva osservato solo nei domini “.cn”, presto divenne chiaro che colpiva anche altre zone se i loro nomi venivano risolti tramite server DNS cinesi. I ricercatori hanno scoperto che le query ad alcuni sottodomini chiave innescano risposte DNS inaspettate. Ad esempio, le query DNS ai server AlibabaDNS spesso restituivano indirizzi IP instabili e le risposte stesse variavano a seconda delle parole chiave nei sottodomini. Anche risolvendo domini inesistenti era possibile ricevere risposte DNS inaspettate.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel corso del tempo, è stato stabilito che il problema non era limitato a un solo provider DNS. Lo spoofing delle query DNS è stato rilevato anche su server di altri provider, ad esempio Cloudflare China. Ciò indica che il problema è di natura sistemica ed è associato alle peculiarità del funzionamento DNS all’interno del Great Firewall cinese.
I ricercatori hanno poi scoperto diversi modi per utilizzare questa “funzionalità” per scopi dannosi. Il primo metodo riguarda il provider CDN Fastly. Se vengono rilevati indirizzi IP falsificati appartenenti all’infrastruttura Fastly, gli aggressori possono intercettare il traffico creando profili CDN utilizzando sottodomini falsi. Ciò consente a tutto il traffico di essere indirizzato ai server dell’aggressore.
Il secondo metodo è legato a una vulnerabilità nel cPanel che consente attacchi XSS su sottodomini contraffatti. Questo approccio consente inoltre di sfruttare potenzialmente lo spoofing DNS per attaccare gli utenti finali.
La capacità di intercettare il traffico ed eseguire attacchi XSS tramite spoofing DNS ha gravi conseguenze. In particolare, ciò consente agli aggressori di accedere ai cookie HTTPOnly e ad altri dati sensibili. Il rischio di un attacco tramite Fastly dipende tuttavia dal fatto che il dominio sia già stato aggiunto all’infrastruttura Fastly. Allo stesso tempo, gli attacchi XSS basati su cPanel sono più versatili, sebbene non forniscano l’accesso al cookie HTTPOnly.
I ricercatori ipotizzano che il comportamento rilevato sia legato ai tentativi di censura da parte del governo cinese. Lo spoofing DNS può far parte del Great Firewall cinese, che monitora e blocca le richieste a determinate risorse associate a server proxy, VPN, torrent e altri contenuti vietati.
Per ridurre al minimo i rischi, gli esperti raccomandano alle organizzazioni di spostare i server DNS al di fuori della Cina. Tuttavia, ciò potrebbe influire sulle prestazioni e sulla velocità dei siti per gli utenti cinesi. Inoltre, le aziende dovrebbero implementare la sicurezza web di base, come l’impostazione dei flag “Secure” e “HTTPOnly” per i cookie, per prevenire possibili attacchi agli utenti.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
