Registri DNS a rischio: Come prevenire l'acquisizione di sottodomini?
di
Ultimo aggiornamento: Tempo di lettura: 6 min
Il Dangling DNS è un problema critico che deriva da vulnerabilità all'interno del Domain Name System (DNS), un sistema decentralizzato utilizzato per localizzare le risorse in Internet. Traducendo i nomi di dominio leggibili dall'uomo, come google.com, in indirizzi IP leggibili dalla macchina, come 101.102.25.22, il DNS garantisce una connettività continua.
Consideratelo come un elenco telefonico, che collega i nomi ai numeri per facilitarne l'accesso. Tuttavia, quando si verificano delle configurazioni errate del DNS, si possono creare dei record DNS non funzionanti (voci che puntano a risorse inesistenti o dismesse), esponendo i domini a rischi significativi per la sicurezza. Affrontare questi problemi è essenziale per mantenere una presenza online sicura.
I punti chiave da prendere in considerazione
- I record DNS pendenti espongono i domini a rischi significativi per la sicurezza, in quanto puntano a risorse inesistenti o dismesse.
- Tra le cause più comuni di record DNS non funzionanti vi sono configurazioni errate, servizi scaduti e account di hosting dismessi.
- Gli attacchi di subdomain takeover possono derivare da record DNS non funzionanti, che consentono agli aggressori di controllare e servire contenuti dannosi attraverso domini compromessi.
- I record di autenticazione e-mail sono particolarmente vulnerabili ai problemi di dangling DNS e richiedono un monitoraggio regolare per garantire la corretta configurazione.
- Sia l'auditing manuale che gli strumenti di monitoraggio DNS automatizzati sono essenziali per individuare e risolvere efficacemente i record DNS pendenti.
Cosa sono i record DNS pendenti?
Un record DNS pendente è una voce DNS che punta a una risorsa non più esistente o inaccessibile. I criminali informatici su Internet sono sempre a caccia di queste voci DNS, poiché sono suscettibili di fuga di informazioni. Alcune di queste voci possono contenere informazioni sensibili su un dominio, diventando una miniera di dati di cui gli attori delle minacce possono approfittare.
Scenari comuni che portano a un DNS non funzionante
- Configurazioni errate del DNS
Il sistema dei nomi di dominio è configurato separatamente dalla risorsa Internet con cui vogliamo interagire. I record DNS aggiunti al DNS puntano a queste risorse, aiutandoci ad accedervi. In alcuni casi, una risorsa configurata in precedenza può essere deconfigurata dal suo host. Ad esempio, un record DNS è stato configurato dal proprietario di un dominio per puntare all'IP di un server. Questo server non è più in uso. Il record DNS ora punta a una risorsa che non esiste più e quindi può essere definito una voce "dangling DNS".
- Risorse cloud scadute o eliminate
Se un servizio cloud utilizzato dal proprietario di un dominio scade o viene eliminato, qualsiasi record DNS che punta a quel servizio diventa un record DNS Danglish. Questo record DNS rimane comunque attivo e qualsiasi utente malintenzionato può utilizzare la risorsa per servire contenuti dannosi.
- IP deprecati
Un'azienda può migrare i servizi a un nuovo provider, mentre gli IP precedenti vengono deprezzati. Tuttavia, dimentica di aggiornare o rimuovere i vecchi record DNS. Questi vecchi record sono vulnerabili agli attacchi di subdomain takeover e possono essere sfruttati molto facilmente.
- Disattivazione o interruzione del servizio
Un server di posta elettronica, un account di hosting o un fornitore di servizi di terze parti viene interrotto o dismesso, tuttavia i record DNS come MX, A e CNAME sono ancora attivi e configurati. Gli aggressori possono sfruttare questi record Dangling DNS attivi per impersonare il servizio dismesso.
Semplificate i record DNS pendenti con PowerDMARC!
I rischi dei record DNS a rischio
Le vulnerabilità nascoste del DNS, come il Dangling DNS, possono portare allo sfruttamento del dominio e alle minacce informatiche.
Cos'è un attacco di Subdomain Takeover?
Quando un aggressore rileva una voce DNS dangling che punta a una risorsa deconfigurata, coglie immediatamente l'occasione. L'aggressore prende il controllo del (sotto)dominio a cui punta il record DNS penzolante, instradando così l'intero traffico verso un dominio controllato dall'aggressore con accesso completo al contenuto e alle risorse del dominio.
Impatti successivi del dirottamento del tuo dominio/sottodominio da parte di un aggressore:
Un dominio o un server deconfigurato può diventare un terreno fertile per risorse maligne manipolate da un aggressore su cui il proprietario del dominio non ha alcun controllo. Questo significa che l'aggressore può esercitare completamente il dominio sul nome del dominio per eseguire un servizio illegale, lanciare campagne di phishing su vittime ignare e danneggiare il buon nome della tua organizzazione sul mercato.
I vostri record DNS sono a rischio di penzolare?
La risposta è sì. I seguenti record di autenticazione e-mail possono essere vulnerabili a problemi di dangling DNS:
Protocolli di autenticazione e-mail come DMARC si configurano aggiungendo un record TXT al DNS. Oltre a configurare un criterio per le e-mail del vostro dominio, potete sfruttare il DMARC per attivare un meccanismo di reporting che vi invierà una serie di informazioni sui vostri domini, fornitori e fonti di e-mail.
- Record SPF
Un altro sistema di verifica delle fonti di posta elettronica comunemente utilizzato, SPF esiste nel vostro DNS come record TXT contenente un elenco di fonti di invio autorizzate per le vostre e-mail.
- TLS-RPT
Rapporti SMTP TLS (TLS-RPT) sono un meccanismo di segnalazione aggiuntivo configurato insieme a MTA-STS per inviare ai proprietari dei domini notifiche sotto forma di rapporti JSON su problemi di deliverability dovuti a guasti nella crittografia TLS tra due server di posta elettronica comunicanti.
- Record CNAME DKIM
I record CNAME creano alias di nomi di dominio per puntare un dominio a un altro. Puoi usare CNAME per puntare un sottodominio a un altro dominio che contiene tutte le informazioni e le configurazioni relative al sottodominio.
Ad esempio, il sottodominio mail.domain.com è un alias del CNAME info.dominio.com. Pertanto, quando un server cerca mail.domain.com sarà indirizzato a info.dominio.com.
Il tuo DKIM è spesso aggiunto al DNS come record CNAME.
Ognuna di queste voci contiene informazioni preziose sul tuo dominio organizzativo, sui dati email, sugli indirizzi IP e sulle fonti di invio email. Errori di sintassi che si possono spesso trascurare possono risultare in record penzolanti che possono passare inosservati per lunghi periodi di tempo. Un dominio che è stato interrotto dall'host con un record DKIM CNAME o SPF che punta ad esso può anche causare gli stessi problemi.
Nota: È importante notare che Anche i record MX, NS, A e AAA sono soggetti a problemi di Dangling DNS.. Per il bene di questo articolo, abbiamo trattato solo i record di autenticazione e-mail che hanno queste implicazioni, offrendo soluzioni su come risolverli.
Come trovare i record DNS non funzionanti?
L'identificazione dei record DNS che puntano a risorse non disponibili in fase nascente può aiutare a proteggere il vostro marchio. Si può procedere in due modi: manuale e automatizzato.
1. Rilevamento manuale del DNS penzolante
Anche se richiede molto tempo, una verifica manuale può aiutare a scoprire i record DNS obsoleti:
- Verificate le voci DNS: Effettuate un controllo incrociato di tutti i record DNS nel vostro sistema di gestione DNS con le risorse attive nel vostro ambiente. Cercate le voci che puntano a servizi o IP inesistenti.
- Convalidare le configurazioni DNS: Utilizzare strumenti come nslookup o dig per interrogare ogni record e verificare che la risorsa corrispondente sia fornita e attiva.
- Verificare la presenza di servizi orfani: Verificare la presenza di servizi quali hosting di terze parti, piattaforme cloud o provider CDN che potrebbero essere stati terminati senza rimuovere le voci DNS associate.
Sebbene i metodi manuali siano accurati, sono soggetti a errori umani e possono diventare ingestibili per domini con configurazioni DNS grandi o complesse.
2. Rilevamento automatico del DNS penzolante
Uno strumento di monitoraggio DNS può rivelarsi utile in queste circostanze. Consideratelo come un registro per i vostri domini e sottodomini, ovvero una piattaforma che riunisce tutti i dati rilevanti ad essi relativi in modo organizzato e che può essere facilmente monitorata di volta in volta.
PowerDMARC fa proprio questo. Quando vi iscrivete al nostro strumento di monitoraggio dei domini, vi forniamo l'accesso a una dashboard personalizzata che riunisce tutti i vostri domini root registrati. La nostra nuovissima funzione è ora in grado di aggiungere automaticamente i sottodomini rilevati dal sistema per gli utenti, senza che questi debbano effettuare la registrazione manuale.
Controllate gratuitamente i record del vostro dominio!
Se non si desidera impegnarsi in un servizio a tempo pieno per il monitoraggio del proprio dominio, è possibile controllare il vostro dominio con l'aiuto del nostro strumento PowerAnalyzer. È gratuito! Una volta inserito il nome del vostro dominio e fatto clic su "Controlla ora", potrete visualizzare tutte le configurazioni dei vostri record DNS e le eventuali configurazioni errate rilevate, con suggerimenti su come risolverle rapidamente.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
