Повече от 4 години инфраструктурата на MasterCard остава уязвима поради грешка, която позволява неговият DNS сървър да бъде подправен. Тази повреда беше открита от експерт по сигурността в Seralys, който споменава, че проблемът произхожда от правописна грешка в конфигурацията от платежната инфраструктура на MasterCard, тъй като DNSSEC не е внедрен.
От юни 2020 г. в списъка на DNS сървърите, отговорни за управлението на зоната, вместо правилно включване на „a22-65.akam.net“ от Акамай, "a22-65.akam.ne" е регистриран неправилно. Тази малка грешка се оказа значителна, тъй като „.ne“ съответства на домейна от първо ниво на Република Нигер и „akam.ne“ беше достъпен за покупка.
Това означава, че, Повече от четири години всеки можеше да придобие „akam.ne“, Конфигурира DNS сървър и манипулира DNS зоната на Mastercard и пренасочва легитимен трафик от всеки поддомейн на сайта към злонамерени сървъри. Освен това, тъй като Mastercard не е внедрила DNSSEC, мярка за сигурност, която защитава целостта на DNS записите, нападателят би могъл да манипулира поне една пета от трафика на домейна, тъй като пропускът засяга един от петте регистрирани DNS сървъра. .
За да проверите въздействието на уязвимостта, Изследователят закупи домейна за $300 и го внедри при DNS снифър с цел да анализира обема на трафика, насочен към този адрес. Резултатите разкриха, че MasterCard не е единствената засегната, тъй като други домейн зони също имат същата печатна грешка, пренасочвайки трафика към „akam.ne“ вместо „akam.net“. Освен това беше открито, че между 2015 г. и 2018 г. този домейн е бил регистриран и вероятно използван за злонамерени цели.. Подозрението, че е използван за атаки, се подсилва от факта, че бившият му собственик също е регистрирал „awsdns-06.ne“, чиято структура имитира „awsdns-06.net“, легитимен DNS сървър на Amazon Web Services.
Тези видове грешки могат да останат незабелязани за дълги периоди, тъй като конфигурирането на множество DNS сървъри гарантира толерантност към грешки. в този случай MasterCard първоначално игнорира уведомлението на изследователя за проблема. обаче След намесата на журналиста Brian Krebs, компанията призна уязвимостта и я коригира., въпреки че омаловажи сериозността му, като заяви, че не представлява риск за инфраструктурата. Впоследствие MasterCard поиска премахването на публичния доклад за инцидента чрез Bugcrowd, платформа, която управлява награди за идентифициране на уязвимости.
За да потвърдите че грешката не представлява значителна опасност, представена статистика на получените DNS заявки, където са идентифицирани заявки, насочени към домейни от типа *.az.mastercard.com. Тези домейни бяха свързани с компоненти, хоствани в облака на Microsoft Azure, което показва, че техният компромет може да има сериозни последици за сигурността на инфраструктурата на MasterCard.
El Потенциалното въздействие на тази грешка е значително, като позволи на всеки да контролира един от петте DNS сървъра, нападателят може да е отклонил поне 20% от трафика, предназначен за Mastercard. Освен това, чрез задаване на висок TTL (Time to Live) на фалшивата DNS зона, злонамерените записи могат да останат кеширани за по-дълго време в публични преобразуватели, като тези от Cloudflare или Google, разширявайки обхвата на атаката. Това не само би позволило прихващане на трафик, но и създаване на измамни поддомейни за фишинг кампании.
Освен това, Контролът върху един от DNS сървърите би улеснил получаването на валидни TLS сертификати чрез услуги като Let's Encrypt, които потвърждават собствеността върху домейн чрез DNS. Това би отворило вратата за по-сложни атаки, като например създаването на фалшиви пощенски сървъри. за прихващане на комуникации, изпратени до адреси на @mastercard.com, или за улавяне на идентификационни данни за удостоверяване на служители, използващи Windows.
ФиналИ, заслужава да се спомене, че изследователят Той поясни, че въпреки че е имал акаунт в Bugcrowd, никога не е поискал никаква награда за откритието си и че тяхното намерение при публикуването на доклада е било просто да предупредят за проблема, след като той вече е смекчен и домейнът е под техен контрол. Въпреки предприемането на стъпки за защита на компанията от евентуална атака, Той не получи компенсация за похарчените 300 долара. при закупуване на домейна, дори не и признание за тяхната работа.