le 7 avril 2016

Pour s’introduire dans les systèmes informatiques et les réseaux distants, les pirates utilisent souvent des vulnérabilités de logiciels. Cependant, les configurations incorrectes des applications de serveur et d'autres logiciels peuvent représenter une cause importante de problèmes de sécurité. Les spécialistes de Doctor Web ont détecté une erreur dans la configuration de matériel dans une grande société fournisseur d'hébergement DNS.

Il est connu que les serveurs DNS (Domain Name System) sont responsables de l'adressage sur Internet, en fournissant aux clients des informations sur les domaines. Les serveurs DNS peuvent être gérés par les propriétaires du domaine ou par le personnel de l'organisme propriétaire du site Web utilisant le domaine en question, mais souvent, cette tâche est sous-traitée à d'autres sociétés. Une de ces entreprises est un intégrateur important, easyDNS Technologies, Inc. (easydns.com), parmi les clients de laquelle on compte un grand nombre de sites connus, notamment les portails appartenant au TOP du classement Alexa.net, comme par exemple, informer.com et php.net. Entre autres services, la société easyDNS Technologies, Inc. fournit à ses utilisateurs des serveurs DNS en location — ce service est demandé par les clients qui ne souhaitent pas s'occuper eux-mêmes de la maintenance et de l’administration.

Les chercheurs de Doctor Web ont découvert que l'un des serveurs DNS de la société easyDNS Technologies, Inc. était configuré de manière incorrecte, de ce fait, ce serveur traitait les requêtes AXFR pour le transfert de zone DNS. AXFR est le type de transaction utilisé entre autres pour la réplication des bases de données entre les serveurs DNS. En pratique, cela signifie que les entreprises utilisant les services d'easyDNS Technologies, Inc. ouvrent à tout le monde la liste de leurs sous-domaines enregistrés et utilisés, en particulier, à des fins internes. Ces domaines peuvent être utilisés, par exemple, pour organiser des serveurs Web internes privés, des systèmes de contrôle de version, des bug-trackers, divers services de surveillance, des ressources wikis, etc. Une telle liste d'adresses facilite l'analyse du réseau afin d'y trouver des endroits faibles ou vulnérables par des pirates.

Le simple fait d’effectuer un transfert de zone DNS ne peut causer aucun dommage financier à une organisation exploitant un serveur DNS vulnérable, toutefois, une requête AXFR bien traitée offre aux malfaiteurs des informations redondantes sur les outils de développement utilisés dans la société. Par exemple, les cybercriminels peuvent prendre connaissance de la version bêta du site de la société, estimer le nombre d'adresses IP impliquées, essayer de trouver des données d'authentification pour le système de contrôle de version et pour d'autres ressources internes. Tout cela peut représenter un danger parce que beaucoup d'administrateurs système essaient de protéger uniquement le site principal de la société sans porter assez d'attention aux services non publics auxquels les internautes n'ont normalement pas accès. Si de telles ressources internes se trouvent dans la zone IP de confiance et utilisent des logiciels obsolètes contenant des vulnérabilités connues ou qu'elles permettent l'enregistrement ouvert des utilisateurs ou contiennent des informations de débogage dans le code des pages Web, tout cela peut aider les malfaiteurs qui tentent d'obtenir un accès non autorisé aux données confidentielles.

Bien sûr, une configuration incorrecte des serveurs DNS permettant de traiter les requêtes AXFR externes n'est pas quelque chose de nouveau dans le domaine de la sécurité informatique : il s'agit d'un phénomène très répandu, qui peut être mis dans la catégorie "security misconfiguration". Toutefois, le mécanisme de recherche des serveurs DNS pouvant traiter de telles demandes, ainsi que la technologie de détection des sous-domaines à l'aide de moteurs de recherche de ressources sont automatisés depuis longtemps. Ces fonctions sont notamment effectuées grâce à l'utilitaire dnsenum faisant partie du kit d'une distribution spécialisée Kali Linux conçu pour effectuer des « tests de pénétration », qui témoigne de l'intérêt pour un tel vecteur d'attaque. Compte tenu de tout cela, nous pouvons conclure que déléguer les tâches d'administration des serveurs DNS à des sociétés tierces est une pratique tout à fait raisonnable, cependant, les propriétaires des ressources Internet doivent eux-mêmes s'occuper de leur sécurité. Le principe " Faites confiance, mais vérifiez " reste actuel.

Doctor Web a signalé à easyDNS Technologies, Inc. la vulnérabilité détectée dans la configuration de leur serveur DNS, et la société prend maintenant les mesures nécessaires pour corriger les paramètres incorrects.