Docenas de aplicaciones web vulnerables al envenenamiento de caché de DNS a través de la función «Olvidé mi contraseña»
Las vulnerabilidades en la forma en que los sitios web resuelven los dominios de correo electrónico han dejado muchos sitios abiertos a ataques de DNS que pueden conducir al secuestro de cuentas, según muestra una nueva investigación.
En un estudio de 146 aplicaciones web, Timo Longin, investigador de seguridad de SEC Consult, encontró configuraciones erróneas que los actores maliciosos podrían aprovechar para redirigir los correos electrónicos de restablecimiento de contraseña a sus propios servidores.
Envenenamiento de caché de DNS
La mayoría de los sitios web tienen una función de «contraseña olvidada» que envía un mensaje al correo electrónico del usuario con un enlace o un código de acceso único que le permite restablecer su contraseña o recuperar el acceso a su cuenta. El objetivo del estudio era averiguar si un atacante podría obligar a la aplicación a enviar estos correos electrónicos a un servidor arbitrario.
Para que esto suceda, el atacante debe llevar a cabo un envenenamiento de caché de DNS, donde el nombre de dominio del usuario objetivo (por ejemplo, gmail.com o ejemplo.com) se resuelve en la dirección IP de un servidor que controla el atacante.
El estudio se centró en dos ataques bien conocidos y bien documentados. Uno se conoce como el «ataque Kaminsky», en honor al difunto investigador de seguridad Dan Kaminsky, quien lo informó por primera vez en 2008. El ataque Kaminsky aprovecha la asignación de puertos de baja entropía en los servidores web para interceptar solicitudes de resolución de DNS y enviar respuestas falsificadas.
La segunda técnica, conocida como ataque de fragmentación de IP, se informó por primera vez en 2013. En este esquema, el atacante aprovecha el tamaño limitado del búfer de las respuestas del servidor para enviar paquetes maliciosos.
«En las evaluaciones de seguridad internas, es una práctica común explotar la función ‘¿olvidó su contraseña?’ de las aplicaciones web internas para obtener direcciones URL de restablecimiento de contraseña en los correos electrónicos», dijo Longin a The Daily Swig.
“Esto es fácil de hacer en una red local, ya que los ataques maliciosos en el medio se pueden realizar utilizando la suplantación de identidad ARP para redirigir los correos electrónicos de restablecimiento de contraseña enviados por las aplicaciones web al atacante. Sobre la base de este vector de ataque, y teniendo en cuenta las consecuencias potencialmente devastadoras, se intentó aplicar este concepto a las aplicaciones web en Internet”.
Respuestas DNS maliciosas
Longin analizó el proceso de resolución de DNS de 146 aplicaciones web. Configuró su propio dominio y servidor DNS autorizado (ADNS) y desarrolló su propio proxy DNS para resolver nombres de dominio, junto con una herramienta para registrar respuestas DNS.
Luego, registró manualmente a los usuarios en cada sitio web utilizando subdominios de su dominio personalizado y registró las respuestas a diferentes esquemas de ataque.
Después de 20 horas de registrar usuarios y cientos de horas de analizar los registros, encontró dos aplicaciones vulnerables a los ataques de Kaminsky y 62 vulnerables a los ataques de fragmentación de IP.
“Los ataques de DNS a través de la fragmentación de IP probablemente no sean tan conocidos como, por ejemplo, el ataque de Kaminsky. Tuve que profundizar en este tema para descubrir realmente que los ataques de fragmentación de IP son una cosa”, dijo Longin, y agregó que los ataques de fragmentación de IP son muy complejos y no tan fáciles de explotar.
También señaló que “la protección contra los ataques de fragmentación de IP la mayoría de las veces no viene de inmediato. Lo que significa que es posible que se requiera algún esfuerzo de configuración”.
Un problema común que observó en los servidores vulnerables fue la ausencia o la configuración incorrecta de funciones de seguridad como DNSSEC y cookies de DNS. Curiosamente, estas características han existido durante años, pero los administradores de servidores continúan ignorándolas.
Protección de servidores web
Debido a los procesos continuos de divulgación y parches, SEC Consult no dio a conocer los nombres de los sitios web vulnerables.
Si bien el estudio comprende 146 aplicaciones web, muchas otras seguramente serán vulnerables, advierte Longin. El uso de grandes proveedores de DNS como Google, Cloudflare y Cisco puede ayudar a proteger los sitios, ya que estos proveedores implementan rápidamente medidas de seguridad.
Pero un proveedor de DNS confiable no es suficiente para detener los ataques. El proceso de resolución de DNS involucra a muchas partes y hay muchas maneras en que las cosas pueden salir mal.
SEC Consult ha lanzado DNS Reset Checker, una herramienta de código abierto que evalúa la seguridad de los resolutores de DNS de las aplicaciones web. Longin también sugiere usar las pautas de Google y el Día de la Bandera de DNS para asegurar los procesos de resolución de DNS.
Fuente: The Daily Swig