Más de un millón de nombres de dominio, incluidos muchos registrados por empresas de la lista Fortune 100 y compañías de protección de marca, son vulnerables a la toma de control por parte de cibercriminales debido a debilidades de autenticación en una serie de grandes proveedores de alojamiento web y registradores de dominios, según un nuevo estudio. Imagen: Shutterstock. Su navegador web sabe cómo encontrar un sitio como ejemplo.com gracias al Sistema de nombres de dominio (DNS) global, que funciona como una especie de guía telefónica para Internet al traducir nombres de sitios web fáciles de entender para los humanos (ejemplo.com) en direcciones numéricas de Internet. Cuando alguien registra un nombre de dominio, el registrador generalmente proporcionará dos conjuntos de registros DNS que el cliente luego debe asignar a su dominio. Esos registros son cruciales porque permiten a los navegadores web encontrar la dirección de Internet del proveedor de alojamiento que está sirviendo ese dominio. Pero pueden surgir problemas potenciales cuando los registros DNS de un dominio son «poco fiables», lo que significa que el servidor de nombres autorizado no tiene suficiente información sobre el dominio y no puede resolver las consultas para encontrarlo. Un dominio puede volverse inoperante de diversas maneras, como cuando no se le asigna una dirección de Internet o porque los servidores de nombres en el registro autorizado del dominio están mal configurados o faltan. La razón por la que los dominios inoperantes son problemáticos es que varios proveedores de alojamiento web y DNS permiten a los usuarios reclamar el control de un dominio sin acceder a la cuenta del verdadero propietario en su proveedor de DNS o registrador. Si esta amenaza le suena familiar, es porque no es nada nuevo. En 2019, KrebsOnSecurity escribió sobre ladrones que empleaban este método para tomar el control de miles de dominios registrados en GoDaddy y usarlos para enviar amenazas de bomba y correos electrónicos de sextorsión (GoDaddy dice que arreglaron esa debilidad en sus sistemas poco después de esa historia de 2019). En la campaña de 2019, los spammers crearon cuentas en GoDaddy y pudieron apoderarse de dominios vulnerables simplemente registrando una cuenta gratuita en GoDaddy y asignándoseles los mismos servidores DNS que el dominio secuestrado. Tres años antes, la misma vulnerabilidad generalizada fue descrita en una publicación de blog por el investigador de seguridad Matthew Bryant, quien mostró cómo uno podría apoderarse de al menos 120.000 dominios a través de vulnerabilidades de DNS en algunos de los proveedores de alojamiento más grandes del mundo. Increíblemente, una nueva investigación conjunta publicada hoy por expertos en seguridad de Infoblox y Eclypsium descubre que esta misma vulnerabilidad de autenticación todavía está presente en varios proveedores de alojamiento y DNS importantes. «Es fácil de explotar, muy difícil de detectar y es completamente prevenible», dijo Dave Mitchell, investigador principal de amenazas en Infoblox. «Los servicios gratuitos lo hacen más fácil». [to exploit] a escala. Y la mayor parte de estos están en un puñado de proveedores de DNS». PATOS SENTADOS El informe de Infoblox encontró que hay múltiples grupos cibercriminales que abusan de estos dominios robados como un «sistema de distribución de tráfico» disperso globalmente, que puede usarse para enmascarar la verdadera fuente o destino del tráfico web y canalizar a los usuarios web a sitios web maliciosos o fraudulentos. Tomar dominios de esta manera también puede permitir a los ladrones hacerse pasar por marcas confiables y abusar de su reputación positiva o al menos neutral al enviar correo electrónico desde esos dominios, como vimos en 2019 con los ataques de GoDaddy. «Los dominios secuestrados se han utilizado directamente en ataques de phishing y estafas, así como en grandes sistemas de spam», se lee en el informe de Infoblox, que se refiere a los dominios poco fiables como «patos sentados». «Hay evidencia de que algunos dominios se usaron para Cobalt Strike y otro comando y control de malware (C2). Otros ataques han utilizado dominios secuestrados en ataques de phishing dirigidos mediante la creación de subdominios similares. Algunos actores han acumulado dominios secuestrados con un propósito desconocido”. Los investigadores de Eclypsium estiman que actualmente hay alrededor de un millón de dominios Sitting Duck, y que al menos 30.000 de ellos han sido secuestrados para uso malicioso desde 2019. “En el momento de escribir este artículo, numerosos proveedores de DNS lo permiten mediante una verificación débil o inexistente de la propiedad del dominio para una cuenta determinada”, escribió Eclypsium. Las empresas de seguridad dijeron que encontraron que varios dominios Sitting Duck comprometidos fueron registrados originalmente por empresas de protección de marca que se especializan en registros de dominios defensivos (reservando dominios similares para las principales marcas antes de que esos nombres puedan ser tomados por estafadores) y en la lucha contra la infracción de marcas registradas. Por ejemplo, Infoblox encontró grupos cibercriminales que usaban un dominio Sitting Duck llamado clickermediacorp[.]com, que fue registrado inicialmente en nombre de CBS Interactive Inc. por la firma de protección de marcas MarkMonitor. Otro dominio secuestrado de Sitting Duck: antiphishing[.]org — fue registrado en 2003 por el Anti-Phishing Working Group (APWG), una organización sin fines de lucro dedicada a la seguridad cibernética que sigue de cerca los ataques de phishing. En muchos casos, los investigadores descubrieron dominios Sitting Duck que parecen haber sido configurados para renovarse automáticamente en el registrador, pero los servicios de alojamiento o DNS autorizados no se renovaron. Los investigadores dicen que todos los dominios Sitting Duck poseen tres atributos que los hacen vulnerables a la toma de control: 1) el dominio utiliza o delega servicios DNS autorizados a un proveedor diferente al registrador de dominios; 2) el servidor de nombres autorizado para el dominio no tiene información sobre la dirección de Internet a la que debe apuntar el dominio; 3) el proveedor de DNS autorizado es «explotable», es decir, un atacante puede reclamar el dominio en el proveedor y configurar registros DNS sin acceso a la cuenta válida del propietario del dominio en el registrador de dominios. Imagen: Infoblox. ¿Cómo se sabe si un proveedor de DNS es explotable? En GitHub se publica una lista que se actualiza con frecuencia y que se llama “Can I take over DNS” (¿Puedo tomar el control de DNS?), que ha estado documentando la capacidad de explotación por parte de los proveedores de DNS durante los últimos años. La lista incluye ejemplos de cada uno de los proveedores de DNS mencionados. En el caso del dominio Sitting Duck mencionado anteriormente, clickermediacorp[.]com, el dominio fue registrado originalmente por MarkMonitor, pero parece haber sido secuestrado por estafadores que lo reclamaron en la empresa de alojamiento web DNSMadeEasy, que es propiedad de Digicert, uno de los mayores emisores de certificados digitales (certificados SSL/TLS) de la industria. En una entrevista con KrebsOnSecurity, el fundador y vicepresidente sénior de DNSMadeEasy, Steve Job, dijo que el problema no es realmente algo que su empresa deba resolver, y señaló que los proveedores de DNS que tampoco son registradores de dominios no tienen una forma real de validar si un cliente determinado posee legítimamente el dominio que se reclama. «Cerramos las cuentas abusivas cuando las encontramos», dijo Job. «Pero creo que la responsabilidad debe recaer en el cliente». [domain registrants] ellos mismos. Si vas a comprar algo y apuntarlo a algún lugar sobre el que no tienes control, no podemos evitarlo”. Infoblox, Eclypsium y la lista wiki de DNS en Github dicen que el gigante de alojamiento web Digital Ocean se encuentra entre las empresas de alojamiento vulnerables. En respuesta a las preguntas, Digital Ocean dijo que estaba explorando opciones para mitigar dicha actividad. “El servicio DNS de DigitalOcean no es autoritario y no somos un registrador de dominios”, escribió Digital Ocean en una respuesta por correo electrónico. “Cuando el propietario de un dominio ha delegado autoridad a nuestra infraestructura DNS con su registrador y ha permitido que caduque su propiedad de ese registro DNS en nuestra infraestructura, eso se convierte en una ‘delegación poco convincente’ bajo este modelo de secuestro. Creemos que la causa principal, en última instancia, es la mala gestión de la configuración del nombre de dominio por parte del propietario, similar a dejar las llaves en el coche sin llave, pero reconocemos la oportunidad de ajustar nuestras barandillas de seguridad del servicio DNS no autoritario en un esfuerzo por ayudar a minimizar el impacto de una falla en la higiene a nivel de DNS autoritario. Estamos conectados con los equipos de investigación para explorar opciones de mitigación adicionales”. En una declaración proporcionada a KrebsOnSecurity, el proveedor de alojamiento y registrador Hostinger dijo que estaban trabajando para implementar una solución para prevenir ataques de pato cojo en las “próximas semanas”. “Estamos trabajando en la implementación de un sistema de verificación de dominio basado en SOA”, escribió Hostinger. “Se utilizarán servidores de nombres personalizados con un registro de inicio de autoridad (SOA) para verificar si el dominio realmente pertenece al cliente. Nuestro objetivo es lanzar esta solución fácil de usar para fines de agosto. El paso final es desaprobar los dominios de vista previa, una funcionalidad que a veces usan los clientes con intenciones maliciosas. Los dominios de vista previa quedarán obsoletos a fines de septiembre. Los usuarios legítimos podrán usar subdominios temporales generados aleatoriamente en su lugar”. ¿Qué hicieron los proveedores de DNS que han luchado con este problema en el pasado para abordar estos desafíos de autenticación? Las empresas de seguridad dijeron que para reclamar un nombre de dominio, los proveedores de mejores prácticas le dieron al titular de la cuenta servidores de nombres aleatorios que requerían un cambio en el registrador antes de que los dominios pudieran estar activos. También descubrieron que los proveedores de mejores prácticas utilizaban diversos mecanismos para garantizar que los servidores de nombres recientemente asignados no coincidieran con las asignaciones de servidores de nombres anteriores.
[Side note: Infoblox observed that many of the hijacked domains were being hosted at Stark Industries Solutions, a sprawling hosting provider that appeared two weeks before Russia invaded Ukraine and has become the epicenter of countless cyberattacks against enemies of Russia]Tanto Infoblox como Eclypsium afirmaron que, sin una mayor cooperación y una menor acusación por parte de todos los interesados ​​en el DNS global, los ataques a dominios fáciles seguirán aumentando, con los registrantes de dominios y los usuarios habituales de Internet atrapados en el medio. “Las organizaciones gubernamentales, los reguladores y los organismos de normalización deberían considerar soluciones a largo plazo para las vulnerabilidades en la superficie de ataque de la gestión del DNS”, concluye el informe de Infoblox.