Специалист по кибербезопасности выявил серьезную уязвимость в системе DNS крупнейшей платежной системы Mastercard. Оказалось, что один из DNS-серверов компании работал с критической ошибкой на протяжении пяти лет. При этом домен в национальной зоне Нигера, указанный в настройках, даже не был зарегистрирован.
Ошибка в ИТ-системе
Международная финансовая корпорация Mastercard успешно устранила серьезную ошибку в конфигурации DNS, которая могла привести к перехвату и переадресации важного сетевого трафика. Для маршрутизации трафика компания задействует пять DNS-серверов Akamai, адреса которых должны заканчиваться на akam.net. Однако в одном случае произошла досадная опечатка — домен был прописан как akam.ne. Подобные ошибки часто становятся мишенью для злоумышленников, использующих тайпсквоттинг.
Важное открытие сделал основатель консалтинговой компании Seralys в сфере информационной безопасности Филиппе Катурельи. Он инвестировал $300 в регистрацию свободного домена akam.ne в зоне Нигера и настроил DNS-сервер. К его удивлению, объем DNS-запросов из разных стран достиг сотен тысяч в сутки. Очевидно, что допущенная ИТ-специалистами Mastercard ошибка оказалась системной.
Ошибка DNS в системе Mastercard оставалась незамеченной в течение пяти лет
При правильной настройке почтового сервера на домене akam.ne появлялась возможность перехватывать почтовую корреспонденцию, предназначенную для mastercard.com и связанных доменов. Более того, такой доступ позволял получить SSL/TLS-сертификаты для обработки и перенаправления трафика этих сайтов.
Исследователь отметил, что существовала возможность организовать сбор учетных данных корпоративных пользователей Windows. Потенциальный злоумышленник мог без труда реализовать атаку типа man-in-the-middle, перехватывая трафик Mastercard. Учитывая, что ошибка затрагивала один из пяти DNS-серверов, успешная атака позволила бы получить контроль как минимум над 20% трафика. Однако Катурельи поступил этично и предложил Mastercard безвозмездно передать права на зарегистрированный домен за символические $300.
Управление рисками в проекте
Первоначально Mastercard не отреагировала на предупреждения Катурельи. Позднее компания признала и исправила ошибку, однако заявила об отсутствии угрозы для безопасности своих деловых операций.
Разочарованный таким отношением эксперт поделился своим опытом в LinkedIn. После исправления опечатки Mastercard команда Bugcrowd (платформа для программ bug bounty) обратилась к Катурельи с критикой его действий и просьбой удалить публикацию о неадекватной реакции компании.
Домены Mastercard, которые потенциально подвергались риску из-за неправильной настройки
Несмотря на наличие аккаунта на Bugcrowd, Катурельи никогда им не пользовался. Он аргументированно ответил на обвинения Mastercard в нарушении правил раскрытия уязвимостей. Эксперт подчеркнул свое стремление минимизировать риски для компании, включая личные финансовые затраты на регистрацию домена для предотвращения его захвата злоумышленниками.
Российский след или опечатка
Выяснилось, что некорректно настроенный DNS-сервер обслуживал трафик поддомена az.mastercard.com, используемого для доступа к рабочим серверам Microsoft Azure.
Интересно, что домен akam.ne был зарегистрирован в декабре 2016 года пользователем с электронной почтой um-i-delo@yandex.ru, предположительно Иваном И. из Москвы. Тогда домен был привязан к IP-адресу немецкого провайдера Team Internet (AS61969), специализирующегося на парковке доменов.
Примечателен комментарий бывшего сотрудника Cloudflare к посту Катурельи в LinkedIn. Он упомянул отчет о схожем случае с опечаткой в домене, зарегистрированном в 2017 году. Организации могли ошибочно указать сервер AWS DNS как awsdns-06.ne вместо правильного awsdns-06.net. Согласно DomainTools, этот домен также был зарегистрирован на пользователя Яндекс почты playlotto@yandex.ru и размещался у того же немецкого провайдера Team Internet.
