Nightmare de coupe-casson DNS de MasterCard de MasterCard

Lucas Morel

Ce qui est effrayant dans cette erreur, ce n’est pas de savoir combien de dégâts les cyberthies auraient pu faire, mais à quel point il est facile de faire et à quel point il est difficile de découvrir.

En raison d’une erreur de réglage du système de noms de domaine (DNS), que le chercheur en sécurité qui l’a découvert a dit était presque certainement un problème de coupure et de coche, MasterCard avait un record DNS avec un personnage manquant pendant près de cinq ans. Cette erreur aurait permis aux attaquants de prendre potentiellement le sous-domaine, de créer un site faux qui imite le site MasterCard légitime, puis de inciter les clients à révéler les détails et les informations d’identification révélatrices.

MasterCard a confirmé le DNS Glitch dans une déclaration à KrebsSecurity. «Nous avons examiné la question et il n’y avait pas de risque pour nos systèmes», a écrit le porte-parole de MasterCard. «Cette faute de frappe a maintenant été corrigée.»

Mais le chercheur en sécurité qui a découvert l’erreur a déclaré que la nature du problème ressemble beaucoup plus à une erreur de coupure et de coller qu’à une faute de frappe.

Philippe Caturegli, qui s’appelle le chef du piratage de la société de sécurité Seralys, a déclaré que le problème était qu’un dossier DNS pointait vers une adresse se terminant par «.ne» alors qu’elle devait se terminer par «.net».

En raison de la nature et de la longueur des chaînes DNS, Caturegli a déclaré qu’il est probablement le technicien utilisé la coupe et le cul pour transférer les données. Si la personne qui déplace les données n’est pas très prudente, la coupe et la coller peuvent souvent perdre un caractère, à la fin ou au début de la chaîne. C’est ce qui s’est apparemment produit, a-t-il dit.

Ce gâchis devient encore plus désordonné, grâce à une combinaison de facteurs connus pour causer de nombreux problèmes de cybersécurité: les risques tiers et les sous-domaines qui n’étaient pas principalement ceux de MasterCard. Le problème a mal nommé l’un des cinq serveurs DNS partagés chez le fournisseur de services Internet Akamai, qui dirige le trafic pour des parties du réseau de MasterCard, envoyant des demandes à l’adresse incorrecte.

Selon Caturegli, les frappes ont été coupées et collées, selon CATGLI .  »

Un autre directeur de la sécurité, PDG de CIP, Andy Jenkinson, a examiné le problème MasterCard et l’a étiqueté «épouvantable».

« Je ne sais pas ce que fait l’équipe de sécurité de MasterCard, mais ce n’est certainement pas la sécurité de base », a déclaré Jenkinson. «Pendant cinq ans, cela n’a pas été ramassé, donc le contrôle de la qualité ne vérifiait pas. J’ai mis cela à une erreur humaine et à une supervision. Quelqu’un n’a même pas pensé à vérifier. »

Caturegli a annoncé publiquement ses conclusions dans un article LinkedIn où il a demandé aux CISO et aux dirigeants informatiques de «remédier à vos dossiers DNS (parce qu’une seule faute de frappe peut ouvrir la porte aux attaques de l’homme au milieu, au phishing, à l’interception des données, Et plus. Si vous ne contrôlez pas le domaine que vos serveurs de noms pointent, les attaquants pourraient. »

«Pour être juste, ce n’était qu’un sous-domaine. D’après ce que j’ai vu, il n’y avait pas de serveur de messagerie sur ce sous-domaine, qui a été utilisé pour les services Azure », a déclaré Caturegli. «(Mais) en tant qu’utilisateur final, vous n’avez aucune idée de l’endroit où vous allez. Vous faites simplement confiance au DNS.

Le problème est que ce type d’erreur de coupe et de coller est très facile à faire, et la nature des chaînes de caractère rend difficile la détection de l’erreur. Pire encore, si l’erreur est détectée immédiatement, elle pourrait rester en place pendant une période prolongée, comme l’a appris Mastercard.

«Vous devez vérifier en permanence vos configurations pour toute erreur évidente. Mais avec DNS, une fois qu’il est configuré, il ne va pas générer une erreur », a déclaré Caturegli. «Sauf si vous vérifiez votre configuration, vous ne savez pas ce problème. Vous ne pouvez pas compter sur des outils. Ils n’auraient même pas de journaux (montrant l’erreur). Ils ne le verront sur aucun de leurs journaux. »