Kesalahan DNS MasterCard Tak Terdeteksi Selama Bertahun-tahun

 (krebsonsecurity.com)
1 poin oleh GN⁺ 2025-01-23 | 1 komentar | Bagikan ke WhatsApp

  • Kesalahan konfigurasi DNS MasterCard

    • MasterCard telah memperbaiki kesalahan dalam konfigurasi domain name server-nya.
    • Kesalahan ini memungkinkan pihak lain mendaftarkan nama domain yang tidak digunakan untuk mencegat atau mengalihkan lalu lintas internet.
    • Masalah ini berlangsung selama sekitar 5 tahun, dan seorang peneliti keamanan mengeluarkan $300 untuk mendaftarkan domain tersebut agar penjahat siber tidak dapat menyalahgunakannya.

  • Proses penemuan dan penanganan kesalahan

    • Pada 14 Januari 2025, pencarian DNS untuk domain az.mastercard.com menemukan nama domain yang salah, yaitu a22-65.akam.ne.
    • MasterCard menggunakan server DNS Akamai, dan semua nama server seharusnya berakhiran akam.net, tetapi satu server salah dikonfigurasi menjadi akam.ne.
    • Konsultan keamanan Philippe Caturegli menemukan kesalahan ini dan mendaftarkan domain akam.ne untuk menangani masalah tersebut.

  • Risiko potensial dan respons

    • Setelah menyiapkan server DNS untuk domain akam.ne, Caturegli menerima ratusan ribu permintaan DNS dari seluruh dunia.
    • Jika ia juga menyiapkan server email, ia kemungkinan bisa menerima email yang ditujukan ke MasterCard.com atau domain lain yang terdampak.
    • Caturegli memberi tahu MasterCard tentang masalah ini dan memungkinkan perusahaan itu mengambil alih domain tersebut.

  • Respons MasterCard

    • MasterCard mengklaim bahwa kesalahan ini tidak menimbulkan ancaman terhadap keamanan sistemnya.
    • Melalui Bugcrowd, Caturegli diminta untuk menghapus postingan LinkedIn-nya.
    • Caturegli menjelaskan bahwa ia tidak melaporkan masalah ini melalui Bugcrowd, melainkan mendaftarkan domain itu untuk mencegah penyalahgunaan.

  • Pentingnya server DNS

    • Sebagian besar organisasi memiliki setidaknya dua authoritative domain name server.
    • MasterCard menggunakan lima server DNS, sehingga dengan mengendalikan satu domain saja, seseorang kemungkinan hanya bisa melihat sekitar 1/5 dari seluruh permintaan DNS.
    • Caturegli menjelaskan bahwa banyak pengguna memakai public traffic forwarder atau DNS resolver, sehingga jika satu resolver menyimpan hasil yang salah di cache, lebih banyak lalu lintas dapat dialihkan.

  • Komentar tambahan dari Caturegli

    • Caturegli berharap MasterCard setidaknya akan berterima kasih atau mengganti biaya pembelian domain tersebut.
    • Ia membantah pernyataan publik MasterCard di LinkedIn dan membagikan catatan pencarian DNS.

  • Informasi terkait lainnya

    • Domain akam.ne pertama kali didaftarkan pada Desember 2016 dan kedaluwarsa pada 2018.
    • Domain typo serupa, awsdns-06.ne, juga didaftarkan oleh seorang pengguna Yandex dan di-host oleh ISP di Jerman.

Bacaan terkait

1 komentar

 
GN⁺ 2025-01-23
Opini Hacker News

  • Menurut komentar terkait riset ini, nameserver yang dapat didaftarkan secara publik adalah kasus yang jarang, dan pemetaan langsung ke alamat IP penyedia cloud lebih umum terjadi

    • Karena cakupan layanan cloud yang luas dan kurangnya visibilitas, perusahaan lebih mungkin memiliki kerentanan pada subdomain
    • Program bug bounty sering kali tidak mengakui pengambilalihan subdomain sebagai ancaman keamanan yang valid
    • Ada kasus di mana informasi sensitif bocor akibat kesalahan pengelolaan konfigurasi seperti ini
    • Lingkungan pengungkapan kerentanan saat ini memudahkan perusahaan untuk tidak mengakui adanya kerentanan
    • Kerentanan seperti ini dapat disalahgunakan untuk menerbitkan sertifikat TLS

  • Kisah terkait Bugcrowd merupakan hal yang tidak terduga

    • Bisa jadi Bugcrowd mencoba mengatur tindakan di luar platform, atau Mastercard menyamar sebagai karyawan Bugcrowd
    • Kedua kemungkinan tersebut sama-sama tidak diinginkan

  • Ada kemungkinan peneliti keamanan akan masuk lebih dalam untuk mengumpulkan lebih banyak bukti

    • Peneliti harus diberi imbalan yang memadai agar dampaknya dapat diminimalkan
    • Upaya untuk menekan peneliti bisa jadi merupakan tindakan staf PR yang keliru

  • Domain akam.ne pernah didaftarkan sebelumnya, dan ada kasus domain salah ketik serupa yang juga didaftarkan

    • Domain-domain tersebut terhubung ke server internet di Jerman

  • Di Ukraina, sertifikat SSL MasterCard pernah kedaluwarsa sehingga menimbulkan masalah pada transaksi online

    • Sertifikat tidak diperbarui, dan layanan berhenti secara diam-diam

  • Karena kesalahan MasterCard, masalah dapat terjadi ketika domain hanya berbeda satu huruf dari TLD aslinya

    • Jika domain seperti itu tidak ada, permintaan DNS yang keliru tidak akan terjadi

  • Insiden keamanan pernah terjadi akibat perubahan domain vendor yang menggunakan Vercel

    • Begitu domain kembali tersedia untuk umum, penyerang langsung mengambilnya dan menyebarkan malware

  • Nama domain tersebut seharusnya diberikan kepada Akamai, dan Akamai bertanggung jawab untuk menanganinya

  • Selain MasterCard, masalah serupa juga terjadi pada bank di Kanada dan Canada Post

    • Canada Post telah memperbaiki masalah tersebut, tetapi bank itu sempat memperbaikinya lalu memunculkannya kembali