Redazione RHC : 3 Ottobre 2024 23:23
Gli esperti di Assetnote hanno recentemente identificato un problema su larga scala di spoofing delle query DNS nell’infrastruttura Internet cinese. Dall’analisi dei risolutori DNS di uno dei clienti più presenti in Cina è stato scoperto un comportamento insolito: molti sottodomini che portavano a indirizzi IP casuali .
Inizialmente l’anomalia veniva attribuita all’inoperabilità dei server DNS. Si sospettava che lo spoofing delle query fosse dovuto all’instabilità dei risolutori DNS o alle funzionalità degli algoritmi di bilanciamento del carico. Tuttavia, in seguito si è scoperto che il problema si verifica esclusivamente sui server situati in Cina.
Mentre inizialmente lo spoofing veniva osservato solo nei domini “.cn”, presto divenne chiaro che colpiva anche altre zone se i loro nomi venivano risolti tramite server DNS cinesi. I ricercatori hanno scoperto che le query ad alcuni sottodomini chiave innescano risposte DNS inaspettate. Ad esempio, le query DNS ai server AlibabaDNS spesso restituivano indirizzi IP instabili e le risposte stesse variavano a seconda delle parole chiave nei sottodomini. Anche risolvendo domini inesistenti era possibile ricevere risposte DNS inaspettate.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel corso del tempo, è stato stabilito che il problema non era limitato a un solo provider DNS. Lo spoofing delle query DNS è stato rilevato anche su server di altri provider, ad esempio Cloudflare China. Ciò indica che il problema è di natura sistemica ed è associato alle peculiarità del funzionamento DNS all’interno del Great Firewall cinese.
I ricercatori hanno poi scoperto diversi modi per utilizzare questa “funzionalità” per scopi dannosi. Il primo metodo riguarda il provider CDN Fastly. Se vengono rilevati indirizzi IP falsificati appartenenti all’infrastruttura Fastly, gli aggressori possono intercettare il traffico creando profili CDN utilizzando sottodomini falsi. Ciò consente a tutto il traffico di essere indirizzato ai server dell’aggressore.
Il secondo metodo è legato a una vulnerabilità nel cPanel che consente attacchi XSS su sottodomini contraffatti. Questo approccio consente inoltre di sfruttare potenzialmente lo spoofing DNS per attaccare gli utenti finali.
La capacità di intercettare il traffico ed eseguire attacchi XSS tramite spoofing DNS ha gravi conseguenze. In particolare, ciò consente agli aggressori di accedere ai cookie HTTPOnly e ad altri dati sensibili. Il rischio di un attacco tramite Fastly dipende tuttavia dal fatto che il dominio sia già stato aggiunto all’infrastruttura Fastly. Allo stesso tempo, gli attacchi XSS basati su cPanel sono più versatili, sebbene non forniscano l’accesso al cookie HTTPOnly.
I ricercatori ipotizzano che il comportamento rilevato sia legato ai tentativi di censura da parte del governo cinese. Lo spoofing DNS può far parte del Great Firewall cinese, che monitora e blocca le richieste a determinate risorse associate a server proxy, VPN, torrent e altri contenuti vietati.
Per ridurre al minimo i rischi, gli esperti raccomandano alle organizzazioni di spostare i server DNS al di fuori della Cina. Tuttavia, ciò potrebbe influire sulle prestazioni e sulla velocità dei siti per gli utenti cinesi. Inoltre, le aziende dovrebbero implementare la sicurezza web di base, come l’impostazione dei flag “Secure” e “HTTPOnly” per i cookie, per prevenire possibili attacchi agli utenti.
RedazioneIl 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply c...
Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...
Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...
Il 10 ottobre 2025 le autorità lettoni hanno condotto una giornata di azione che ha portato all’arresto di cinque cittadini lettoni sospettati di gestire un’articolata rete di frodi telematiche. ...
Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...
