Il Great Firewall cinese potrebbe essere responsabile dello spoofing DNS su larga scala

Gli esperti di Assetnote hanno recentemente identificato un problema su larga scala di spoofing delle query DNS nell’infrastruttura Internet cinese. Dall’analisi dei risolutori DNS di uno dei clienti più presenti in Cina è stato scoperto un comportamento insolito: molti sottodomini che portavano a indirizzi IP casuali .

Inizialmente l’anomalia veniva attribuita all’inoperabilità dei server DNS. Si sospettava che lo spoofing delle query fosse dovuto all’instabilità dei risolutori DNS o alle funzionalità degli algoritmi di bilanciamento del carico. Tuttavia, in seguito si è scoperto che il problema si verifica esclusivamente sui server situati in Cina.

Mentre inizialmente lo spoofing veniva osservato solo nei domini “.cn”, presto divenne chiaro che colpiva anche altre zone se i loro nomi venivano risolti tramite server DNS cinesi. I ricercatori hanno scoperto che le query ad alcuni sottodomini chiave innescano risposte DNS inaspettate. Ad esempio, le query DNS ai server AlibabaDNS spesso restituivano indirizzi IP instabili e le risposte stesse variavano a seconda delle parole chiave nei sottodomini. Anche risolvendo domini inesistenti era possibile ricevere risposte DNS inaspettate.

Nel corso del tempo, è stato stabilito che il problema non era limitato a un solo provider DNS. Lo spoofing delle query DNS è stato rilevato anche su server di altri provider, ad esempio Cloudflare China. Ciò indica che il problema è di natura sistemica ed è associato alle peculiarità del funzionamento DNS all’interno del Great Firewall cinese.

I ricercatori hanno poi scoperto diversi modi per utilizzare questa “funzionalità” per scopi dannosi. Il primo metodo riguarda il provider CDN Fastly. Se vengono rilevati indirizzi IP falsificati appartenenti all’infrastruttura Fastly, gli aggressori possono intercettare il traffico creando profili CDN utilizzando sottodomini falsi. Ciò consente a tutto il traffico di essere indirizzato ai server dell’aggressore.

Il secondo metodo è legato a una vulnerabilità nel cPanel che consente attacchi XSS su sottodomini contraffatti. Questo approccio consente inoltre di sfruttare potenzialmente lo spoofing DNS per attaccare gli utenti finali.

La capacità di intercettare il traffico ed eseguire attacchi XSS tramite spoofing DNS ha gravi conseguenze. In particolare, ciò consente agli aggressori di accedere ai cookie HTTPOnly e ad altri dati sensibili. Il rischio di un attacco tramite Fastly dipende tuttavia dal fatto che il dominio sia già stato aggiunto all’infrastruttura Fastly. Allo stesso tempo, gli attacchi XSS basati su cPanel sono più versatili, sebbene non forniscano l’accesso al cookie HTTPOnly.

I ricercatori ipotizzano che il comportamento rilevato sia legato ai tentativi di censura da parte del governo cinese. Lo spoofing DNS può far parte del Great Firewall cinese, che monitora e blocca le richieste a determinate risorse associate a server proxy, VPN, torrent e altri contenuti vietati.

Per ridurre al minimo i rischi, gli esperti raccomandano alle organizzazioni di spostare i server DNS al di fuori della Cina. Tuttavia, ciò potrebbe influire sulle prestazioni e sulla velocità dei siti per gli utenti cinesi. Inoltre, le aziende dovrebbero implementare la sicurezza web di base, come l’impostazione dei flag “Secure” e “HTTPOnly” per i cookie, per prevenire possibili attacchi agli utenti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.