Più di un milione di nomi di dominio, inclusi molti registrati da aziende Fortune 100 e società di protezione del marchio, sono vulnerabili al controllo da parte di criminali informatici a causa di debolezze nell'autenticazione presso numerosi grandi provider di hosting web e registrar di domini, secondo nuove ricerche. Il sistema di nomi di dominio (DNS) globale funge da rubrica per Internet, traducendo i nomi dei siti web in indirizzi Internet numerici.

Quando qualcuno registra un nome di dominio, il registrar fornisce solitamente due set di record DNS che il cliente deve assegnare al proprio dominio. Questi record sono cruciali perché consentono ai browser web di trovare l'indirizzo Internet del provider di hosting che serve quel dominio. Tuttavia, possono sorgere problemi quando i record DNS di un dominio sono "lame", ovvero il server dei nomi autorevole non ha informazioni sufficienti sul dominio e non può risolvere le query per trovarlo. Un dominio può diventare lame in vari modi, come quando non viene assegnato un indirizzo Internet, o perché i server dei nomi nel record autorevole del dominio sono configurati in modo errato o mancanti.

I domini lame sono problematici perché numerosi provider di hosting web e DNS consentono agli utenti di rivendicare il controllo su un dominio senza accedere all'account del vero proprietario presso il loro provider DNS o registrar. Questa vulnerabilità è stata sfruttata in passato, come nel 2019, quando i ladri hanno utilizzato questo metodo per prendere il controllo di migliaia di domini registrati presso GoDaddy, usandoli per inviare minacce di bomba e email di sextortion. Nonostante GoDaddy abbia affermato di aver risolto tale debolezza, nuove ricerche indicano che questa vulnerabilità è ancora presente presso numerosi grandi provider di hosting e DNS.

Infoblox ed Eclypsium hanno rivelato che gruppi di criminali informatici stanno abusando di questi domini rubati come "sistema di distribuzione del traffico" globale, utilizzato per mascherare la vera fonte o destinazione del traffico web e per indirizzare gli utenti verso siti web dannosi o di phishing. I domini hijacked possono anche consentire ai ladri di impersonare marchi fidati e abusare della loro reputazione inviando email da quei domini. Alcuni domini hijacked sono stati utilizzati direttamente in attacchi di phishing, come nel caso di clickermediacorp[.]com, un dominio inizialmente registrato da CBS Interactive Inc. che è stato trasferito a MarkMonitor nel 2012 e successivamente hijacked da criminali.

I domini Sitting Duck

I domini Sitting Duck possiedono tre attributi che li rendono vulnerabili al controllo: usano o delegano servizi DNS autorevoli a un provider diverso dal registrar del dominio, i server dei nomi autorevoli non hanno informazioni sull'indirizzo Internet a cui il dominio dovrebbe puntare, e il provider DNS autorevole è "sfruttabile", ovvero un attaccante può rivendicare il dominio presso il provider e configurare i record DNS senza accedere all'account del legittimo proprietario.

Lista su GitHub

Per sapere se un provider DNS è sfruttabile, esiste una lista aggiornata su GitHub chiamata "Can I take over DNS", che documenta la sfruttabilità per provider DNS. La comunità della sicurezza e i provider di hosting sono incoraggiati a collaborare per risolvere queste vulnerabilità e proteggere i domini da futuri attacchi.