.
Dezenas de criminosos afiliados à Rússia estão agora tentando tomar o controle de domínios da web explorando serviços DNS fracos.
Os criminosos já sequestraram cerca de 30.000 domínios desde 2019, usando uma técnica chamada Sitting Ducks pelas empresas de segurança cibernética Infoblox e Eclypsium.
A falha no cerne da questão é conhecida desde pelo menos 2016, quando o pesquisador de segurança Matt Bryant detalhou a aquisição de 120.000 domínios usando uma vulnerabilidade de DNS em grandes provedores de nuvem, como AWS, Google e Digital Ocean. Ela ressurgiu em 2019 no provedor de serviços de internet GoDaddy, levando a ameaças de bomba e tentativas de sextortion.
O fato de Sitting Ducks continuar sendo uma via viável para apreender domínios é uma prova da dificuldade de lidar com vulnerabilidades que surgem de processos de negócios de má qualidade, em vez de bugs de codificação. A técnica é difícil de detectar ou distinguir do roubo de credenciais, e é muito prejudicial para aqueles que são abatidos por ela.
“Oito anos após sua primeira publicação, o vetor de ataque é amplamente desconhecido e não resolvido”, disse a Infoblox em um artigo lamentando a facilidade de sequestro de domínio.
“Sitting Ducks é mais fácil de executar, tem mais probabilidade de ter sucesso e é mais difícil de detectar do que outros vetores de ataque de sequestro de domínio bem divulgados, como CNAMEs pendurados. Ao mesmo tempo, Sitting Ducks está sendo amplamente usado para explorar usuários ao redor do mundo. Nossa análise mostrou que o uso de Sitting Ducks cresceu ininterruptamente ao longo de vários anos e não é reconhecido no setor de segurança.”
De acordo com um aviso da Eclypsium, para realizar um ataque bem-sucedido de Sitting Ducks são necessárias quatro condições:
Essa lacuna nos controles administrativos – permitindo que criminosos adicionem ou alterem registros de domínio sem validar a identidade do solicitante – acaba sendo bastante comum. De acordo com um artigo [PDF] publicado em 2020, cerca de 14% dos 49 milhões de domínios avaliados foram afetados por delegações lame de alguns tipos.
A equipe de segurança da Infoblox e da Eclypsium disse que descobriu a última rodada de ataques em junho e vem se coordenando com a polícia e as CERTs nacionais para lidar com os danos desde então.
A vulnerabilidade Sitting Ducks afeta não apenas os proprietários de domínios que são tomados, mas também aqueles que interagem com esses sites online. Domínios sequestrados, alerta a Infoblox, têm sido usados para phishing, golpes, spam, distribuição de pornografia e servidores de comando e controle para ataques como o Cobalt Strike.
A Infoblox e a Eclypsium argumentam que as configurações incorretas de DNS podem ser mitigadas com algum esforço dos proprietários de domínio, registradores de domínio e provedores de DNS. E eles também pedem que organizações governamentais, reguladores e órgãos de padrões explorem soluções de longo prazo que minimizem a superfície de ataque do DNS.
“Sem cooperação e esforço ativo, os ataques Sitting Ducks continuarão a aumentar”, argumenta a Infoblox. “Este ataque já desempenha um papel no crime cibernético que tem como alvo dezenas de países ao redor do mundo, custando aos consumidores uma quantia incalculável de dinheiro e perda de privacidade.” ®
.
