Une erreur DNS de Mastercard est passée inaperçue pendant des années

 (krebsonsecurity.com)
1 points par GN⁺ 2025-01-23 | 1 commentaires | Partager sur WhatsApp

  • Erreur de configuration DNS chez Mastercard

    • Mastercard a corrigé une erreur dans la configuration de ses serveurs de noms de domaine.
    • Cette erreur permettait d’enregistrer un nom de domaine inutilisé afin d’intercepter ou de détourner du trafic Internet.
    • Le problème a persisté pendant environ cinq ans, et un chercheur en sécurité a dépensé 300 $ pour enregistrer le domaine afin d’empêcher des cybercriminels de l’exploiter.

  • Découverte et résolution du problème

    • Le 14 janvier 2025, une requête DNS pour le domaine az.mastercard.com a révélé un nom de domaine erroné, a22-65.akam.ne.
    • Mastercard utilise les serveurs DNS d’Akamai, et tous les noms de serveurs devraient se terminer par akam.net, mais l’un d’eux avait été configuré par erreur en akam.ne.
    • Le consultant en sécurité Philippe Caturegli a découvert cette erreur et a enregistré le domaine akam.ne pour résoudre le problème.

  • Risques potentiels et réponse apportée

    • Après avoir configuré un serveur DNS pour le domaine akam.ne, Caturegli a reçu des centaines de milliers de requêtes DNS provenant du monde entier.
    • S’il avait mis en place un serveur de messagerie, il aurait pu recevoir les e-mails destinés à MasterCard.com ou à d’autres domaines affectés.
    • Caturegli a signalé le problème à Mastercard et lui a permis de reprendre le contrôle du domaine.

  • Réaction de Mastercard

    • Mastercard a affirmé que cette erreur ne constituait pas une menace pour la sécurité de ses systèmes.
    • Via Bugcrowd, il a été demandé à Caturegli de supprimer sa publication LinkedIn.
    • Caturegli a expliqué qu’il n’avait pas signalé le problème via Bugcrowd et qu’il avait enregistré le domaine pour empêcher toute exploitation malveillante.

  • Importance des serveurs DNS

    • La plupart des organisations disposent d’au moins deux serveurs de noms de domaine faisant autorité.
    • Mastercard utilise cinq serveurs DNS, et le contrôle d’un seul domaine ne permettrait de voir qu’environ un cinquième de l’ensemble des requêtes DNS.
    • Caturegli a expliqué que de nombreux utilisateurs passent par des redirecteurs de trafic publics ou des résolveurs DNS, si bien que si un résolveur met en cache un résultat erroné, davantage de trafic peut être détourné.

  • Commentaires supplémentaires de Caturegli

    • Caturegli s’attendait à ce que Mastercard le remercie officiellement ou rembourse le coût d’achat du domaine.
    • Il a contesté sur LinkedIn la déclaration publique de Mastercard et a partagé l’historique des requêtes DNS.

  • Autres informations liées

    • Le domaine akam.ne a été enregistré pour la première fois en décembre 2016, puis a expiré en 2018.
    • Un domaine typo similaire, awsdns-06.ne, a également été enregistré par un utilisateur de Yandex et est hébergé chez un FAI allemand.

À lire aussi

1 commentaires

 
GN⁺ 2025-01-23
Commentaires sur Hacker News

  • Selon un commentaire lié à la recherche, les serveurs de noms publiquement enregistrables sont rares, et il est plus courant d’avoir un mappage direct vers des adresses IP de fournisseurs cloud

    • En raison de l’ampleur des services cloud et du manque de visibilité, les entreprises sont plus susceptibles d’avoir des vulnérabilités sur des sous-domaines
    • Les programmes de bug bounty ne reconnaissent souvent pas la prise de contrôle de sous-domaines comme une menace de sécurité valable
    • Des cas de fuite d’informations sensibles ont déjà été causés par ce type d’erreurs de gestion de configuration
    • L’environnement actuel de divulgation des vulnérabilités permet facilement aux entreprises de ne pas reconnaître les vulnérabilités
    • Ces vulnérabilités peuvent être exploitées pour émettre des certificats TLS

  • L’histoire liée à Bugcrowd est inattendue

    • Soit Bugcrowd essaie de réguler des comportements en dehors de sa plateforme, soit Mastercard se fait passer pour un employé de Bugcrowd
    • Dans les deux cas, ce n’est pas souhaitable

  • Un chercheur en sécurité pourrait aller plus loin dans l’intrusion pour recueillir davantage de preuves

    • Il faut offrir une rémunération suffisante au chercheur afin de minimiser l’impact
    • Les tentatives d’intimidation à l’encontre du chercheur pourraient être le fait d’un employé RP incompétent

  • Le domaine akam.ne a déjà été enregistré auparavant, et des cas d’enregistrement de domaines avec des fautes de frappe similaires ont existé

    • Ces domaines étaient reliés à des serveurs Internet en Allemagne

  • En Ukraine, le certificat SSL de MasterCard a expiré, ce qui a causé des problèmes pour les transactions en ligne

    • Le certificat n’a pas été renouvelé et le service s’est interrompu discrètement

  • En raison d’une erreur de MasterCard, des problèmes peuvent survenir lorsqu’un domaine ne diffère du TLD d’origine que d’une seule lettre

    • Si un tel domaine n’existe pas, aucune requête DNS erronée ne se produirait

  • Un incident de sécurité s’est produit à cause d’un changement de domaine chez un fournisseur utilisant Vercel

    • Dès que le domaine est redevenu disponible, un attaquant l’a acquis et a diffusé un malware

  • Le nom de domaine aurait dû être fourni à Akamai, et c’était à Akamai de le gérer

  • Outre MasterCard, des problèmes similaires se sont également produits dans des banques canadiennes et chez Canada Post

    • Canada Post a résolu le problème, mais la banque l’a corrigé puis l’a recréé