8.9% российских банков некорректно настраивают DNS-сервера.
Аналитики компании «Доктор Веб» исследовали настройку DNS-серверов ряда российских банков и государственных организаций. Было установлено, что из 1000 доменов российских банков 89 отдают доменную зону в ответ на внешний AXFR-запрос. Информация об этом была передана в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Кроме того, некорректные настройки были выявлены на сайтах нескольких государственных организаций.
Доменная система имен (DNS, Domain Name System) позволяет получать информацию о доменах и обеспечивает адресацию в Интернете. С помощью DNS клиентское программное обеспечение, в частности браузер, определяет IP-адрес интернет-ресурса по введенному URL. Администрированием DNS-серверов занимаются, как правило, сами владельцы доменов.
Многие интернет-ресурсы помимо основного домена второго уровня используют несколько дополнительных доменов третьего или даже четвертого уровней — как для размещения отдельных сайтов, так и для обеспечения технологической структуры основного домена. Например, наша компания использует домен второго уровня flexy-reg.ru как основной сайт и домены третьего уровня billing.flexy-reg.ru, s*.flexy-reg.ru и т.д. для управления инфраструктурой хостинга.
AFRX-запрос — это вид транзакции DNS, при котором клиент получает от сервера полную DNS-зону, то есть, список всех поддоменов и служебных записей DNS-сервера. Используется как механизм репликации баз между серверами.
Сам по себе открытый список поддоменов не является уязвимостью, но в некоторых случаях раскрывать «внутреннюю кухню» не желательно, поскольку это даёт злоумышленнику информацию об инфраструктуре организации. Такая информация при наличии ошибок системного администрирования или уязвимостей в ПО может послужить трамплином для более глубокого хакерского анализа — какие IP-адреса используются для внутренних сервисов, какое программное обеспечение на них стоит, нет ли отладочной информации или открытой регистрации на внутренних сервисах.
Будьте бдительны, враг не дремлет!