Исследователи в области кибербезопасности из компаний Infoblox и Eclypsium обнаружили критическую уязвимость в системе доменных имен (DNS), которую в настоящее время эксплуатируют российские киберпреступники для захвата легитимных веб-сайтов.
Эта уязвимость, получившая название «Атака на уязвимые домены» (Sitting Ducks), используется более чем дюжиной российско-ассоциированных злоумышленников для захвата доменных имен.
Проблема, впервые выявленная в 2016 году, в этом году вновь набрала актуальность. С момента ее повторного открытия компании Infoblox и Eclypsium сотрудничают с правоохранительными органами и национальными командами реагирования на компьютерные инциденты (CERT).
Атаки на уязвимые домены растут
Атака направлена на поставщиков DNS, используя комбинацию недостаточной делегации и недостаточной проверки прав на домен. Это позволяет злоумышленникам присваивать домены у поставщиков DNS без доступа к аккаунту легитимного владельца.
Исследования подчеркивают удивительную частоту наличия уязвимых доменов — более одного миллиона потенциальных целей в любой день.
Кроме того, исследователи утверждают, что метод легок в выполнении и труднообнаружим. Однако важно для потенциальных жертв, что атака полностью предотвратима.
После захвата зарегистрированного домена путем эксплуатации уязвимых поставщиков DNS, злоумышленник может проводить различные вредоносные действия, включая доставку вредоносного ПО, фишинг-кампании, подделку брендов и эксфильтрацию данных.
В основном эта атака остается малоизвестной и сложнее обнаруживаемой по сравнению с другими методами захвата доменов, такими как dangling CNAMEs.
Рекомендации по предотвращению атаки включают обязательную проверку прав на домен у поставщиков DNS и мониторинг недостаточной делегации.
Кроме того, Infoblox и Eclypsium представят свои результаты и дополнительные детали на предстоящей конференции BlackHat, что предоставит сообществу кибербезопасности возможность обсудить угрозу.
Источник: TechRadar
