Dangling DNS is een kritiek probleem dat voortkomt uit kwetsbaarheden in het Domain Name System (DNS) - een gedecentraliseerd systeem dat wordt gebruikt om bronnen op het internet te lokaliseren. Door menselijk leesbare domeinnamen, zoals google.com, te vertalen naar machineleesbare IP-adressen zoals 101.102.25.22, zorgt DNS voor naadloze connectiviteit.
Zie het als een telefoonboek dat namen aan nummers koppelt om de toegang te vergemakkelijken. Wanneer DNS echter verkeerd is geconfigureerd, kan dit leiden tot hangende DNS-records-entries die verwijzen naar niet-bestaande of buiten gebruik gestelde bronnen-waarmee domeinen aan aanzienlijke beveiligingsrisico's worden blootgesteld. Het aanpakken van deze problemen is essentieel voor het handhaven van een veilige online aanwezigheid.
Belangrijkste opmerkingen
- Hangende DNS-records verwijzen naar onbestaande of ontoegankelijke bronnen, waardoor ze kwetsbaar zijn voor uitbuiting.
- Veel voorkomende oorzakenzijn DNS-foutconfiguraties, verlopen cloudresources, verouderde IP's en beëindigde services.
- Wanhopige DNS-records kunnen leiden tot aanvallen waarbij subdomeinen worden overgenomen, waardoor aanvallers kwaadaardige inhoud kunnen aanbieden.
- Vooral e-mailverificatiebestanden zoals DMARC, SPF, TLS-RPT en DKIM CNAME lopen gevaar.
- Handmatige detectie bestaat uit het controleren van DNS-records, het valideren van configuraties en het identificeren van verweesde services.
- Geautomatiseerde tools zoals DNS-bewakingssystemen vereenvoudigen detectie en verminderen fouten.
- PowerDMARC biedt DNS-bewaking, geautomatiseerde detectie van subdomeinen en een gratis PowerAnalyzer-tool om te controleren op verkeerde configuraties.
Wat zijn bungelende DNS-records?
Een bungelend DNS-record is een DNS-record dat verwijst naar een bron die niet meer bestaat of ontoegankelijk is. Cybercriminelen op het internet zijn altijd op jacht naar dergelijke DNS-records omdat ze gevoelig zijn voor informatielekken. Sommige van deze vermeldingen kunnen gevoelige informatie over een domein bevatten, waardoor ze een goudmijn aan gegevens worden waar bedreigingsactoren hun voordeel mee kunnen doen.
Veelvoorkomende scenario's die leiden tot een bungelende DNS
- DNS misconfiguraties
Het domeinnaamsysteem wordt afzonderlijk geconfigureerd van de internetbron waarmee we willen communiceren. DNS-records die aan het DNS worden toegevoegd, verwijzen naar deze bronnen en helpen ons er toegang toe te krijgen. In bepaalde gevallen kan een eerder geconfigureerde bron gedeconfigureerd worden door zijn host. Een DNS-record werd bijvoorbeeld geconfigureerd door een domeineigenaar om naar het IP van een server te wijzen. Deze server wordt nu niet meer gebruikt. Het DNS record wijst nu naar een resource die niet meer bestaat en kan daarom een "hangende DNS" entry genoemd worden.
- Verlopen of verwijderde cloudbronnen
Als een cloudservice die door een domeineigenaar wordt gebruikt, verloopt of wordt verwijderd, wordt elk DNS-record dat naar die service verwijst een Danglish DNS-record. Dit DNS-record blijft actief en elke aanvaller kan de bron gebruiken om kwaadaardige inhoud te serveren.
- Afgeschreven IP's
Een bedrijf kan services migreren naar een nieuwe provider, terwijl de vorige IP's vervallen. Hij vergeet echter de oude DNS-records bij te werken of te verwijderen. Deze oude records zijn kwetsbaar voor subdomain takeover-aanvallen en kunnen heel gemakkelijk worden misbruikt.
- Buitengebruikstelling of beëindiging van de dienst
Een e-mailserver, hostingaccount of serviceprovider van derden wordt opgeheven of buiten gebruik gesteld, maar de DNS-records zoals MX-, A- en CNAME-records zijn nog steeds actief en geconfigureerd. Aanvallers kunnen deze actieve Dangling DNS-records gebruiken om zich voor te doen als de beëindigde service.
De risico's van bungelende DNS-records
Verborgen DNS-kwetsbaarheden zoals Dangling DNS kunnen leiden tot domeinexploitatie en cyberbedreigingen.
Wat is een Subdomain Takeover aanval?
Wanneer een aanvaller een bungelende DNS entry detecteert die naar een gedeconfigureerde bron wijst, grijpt hij onmiddellijk zijn kans. De aanvaller neemt het (sub)domein over waarnaar het bungelende DNS-record verwijst, en routeert zo het volledige verkeer naar een door de aanvaller gecontroleerd domein met volledige toegang tot de inhoud en de bronnen van het domein.
Gevolgen als uw domein/subdomein wordt gekaapt door een aanvaller:
Een gedeconfigureerd domein of server kan een broedplaats worden voor kwaadaardige bronnen die door een aanvaller worden gemanipuleerd en waar de domeineigenaar geen controle over heeft. Dit betekent dat de aanvaller de volledige macht over de domeinnaam kan uitoefenen om een illegale dienst te runnen, phishingcampagnes te lanceren op nietsvermoedende slachtoffers en de goede naam van uw organisatie in de markt te schaden.
Lopen uw DNS-records het risico te bungelen?
Het antwoord is ja. De volgende e-mail authenticatie records kunnen kwetsbaar zijn voor bungelende DNS problemen:
Protocollen voor e-mailverificatie zoals DMARC worden geconfigureerd door een TXT-record toe te voegen aan je DNS. Naast het configureren van een beleid voor de e-mails van je domein, kun je DMARC ook gebruiken om een rapportagemechanisme in te schakelen waarmee je een schat aan informatie krijgt over je domeinen, leveranciers en e-mailbronnen.
- SPF record
Een ander veelgebruikt bronverificatiesysteem voor e-mail, SPF bestaat in je DNS als een TXT-record met een lijst van geautoriseerde verzendbronnen voor je e-mails.
- TLS-RPT
SMTP TLS-rapporten (TLS-RPT) is een extra rapportagemechanisme dat samen met MTA-STS is geconfigureerd om domeineigenaren meldingen te sturen in de vorm van JSON-rapporten over problemen met de bezorgbaarheid als gevolg van storingen in TLS-versleuteling tussen twee communicerende e-mailservers.
- DKIM CNAME-records
CNAME records creëren domeinnaam aliassen om een domein naar een ander domein te verwijzen. U kunt CNAME gebruiken om een subdomein naar een ander domein te verwijzen dat alle informatie en configuraties bevat die bij het subdomein horen.
Bijvoorbeeld het subdomein mail.domein.com is een alias voor CNAME info.domein.com. Als een server dus mail.domain.com wordt hij doorgestuurd naar info.domein.com.
Uw DKIM authenticatiesysteem wordt vaak aan het DNS toegevoegd als een CNAME-record.
Elk van deze vermeldingen bevat waardevolle informatie over uw organisatiedomein, e-mailgegevens, IP-adressen, en e-mailverzendbronnen. Syntaxfouten die u vaak over het hoofd ziet, kunnen resulteren in bungelende records die lange tijd onopgemerkt kunnen blijven. Een domein dat is opgeheven door de host met een DKIM CNAME of SPF record dat ernaar wijst, kan ook dezelfde problemen veroorzaken.
Opmerking: Het is belangrijk op te merken dat MX-, NS-, A- en AAA-records ook gevoelig zijn voor Dangling DNS-problemen. Omwille van dit artikel hebben we alleen de e-mailauthenticatierecords behandeld die deze implicaties hebben en oplossingen geboden om ze op te lossen.
Hoe bungelende DNS-records vinden?
Het identificeren van DNS-records die verwijzen naar niet-geprovisioneerde bronnen in hun beginstadium kan helpen bij het beschermen van je merk. Je kunt dit op twee manieren doen: handmatig en geautomatiseerd.
1. Handmatige detectie van bungelende DNS
Hoewel het tijdrovend is, kan een handmatige controle helpen bij het ontdekken van verouderde DNS-records:
- Controleer uw DNS-records: Vergelijk alle DNS-records in uw DNS-beheersysteem met de actieve bronnen in uw omgeving. Zoek naar vermeldingen die verwijzen naar niet-bestaande services of IP's.
- Valideer DNS-configuraties: Gebruik tools zoals nslookup of graven om elke record op te vragen en te controleren of de corresponderende bron is voorzien en actief is.
- Controleer op verweesde services: Onderzoek services zoals hosting van derden, cloudplatforms of CDN-providers die mogelijk zijn beëindigd zonder de bijbehorende DNS-vermeldingen te verwijderen.
Hoewel handmatige methoden grondig zijn, zijn ze vatbaar voor menselijke fouten en kunnen ze onhandelbaar worden voor domeinen met grote of complexe DNS-configuraties.
2. Geautomatiseerde detectie van bungelende DNS
Een DNS-monitoringprogramma kan in dergelijke omstandigheden nuttig blijken te zijn. Zie het als een rooster voor uw domeinen en subdomeinen, d.w.z. één platform dat alle relevante gegevens met betrekking tot hen verzamelt op een georganiseerde manier die van tijd tot tijd gemakkelijk kan worden gecontroleerd.
PowerDMARC doet precies dat. Wanneer je je aanmeldt voor onze tool voor domeinbewaking, geven we je toegang tot een aangepast dashboard dat al je geregistreerde hoofddomeinen verzamelt. Onze gloednieuwe functie kan nu automatisch door het systeem gedetecteerde subdomeinen voor gebruikers toevoegen zonder dat ze zich handmatig hoeven te registreren.
Controleer gratis de registraties van je domein!
Als u zich niet wilt vastleggen op een fulltime service voor uw domeinmonitoring, kunt u uw domein controleren met behulp van onze PowerAnalyzer. Het is gratis! Zodra u uw domeinnaam invoert en op "Nu controleren" klikt, kunt u al uw DNS-recordconfiguraties bekijken, samen met eventuele gedetecteerde misconfiguraties met tips over hoe u deze snel kunt oplossen.
- Yahoo Japan beveelt DMARC aan voor gebruikers in 2025 - 17 januari 2025
- MikroTik-botnet maakt gebruik van SPF-foutconfiguraties om malware te verspreiden - 17 januari 2025
- DMARC niet-geverifieerde e-mail is verboden [OPGELOST] - 14 januari 2025