Mastercard DNS hatası yıllarca fark edilmedi

 (krebsonsecurity.com)
1 puan yazan GN⁺ 2025-01-23 | 1 yorum | WhatsApp'ta paylaş

  • Mastercard'ın DNS yapılandırma hatası

    • Mastercard, alan adı sunucusu yapılandırmasındaki bir hatayı düzeltti.
    • Bu hata, kullanılmayan bir alan adının kaydedilerek internet trafiğinin ele geçirilmesine veya başka yöne çevrilmesine imkân tanıyordu.
    • Hata yaklaşık 5 yıl boyunca sürdü; bir güvenlik araştırmacısı, siber suçluların bunu kötüye kullanmasını önlemek için 300 dolar harcayarak alan adını kaydetti.

  • Hatanın keşfi ve çözüm süreci

    • 14 Ocak 2025'te, az.mastercard.com alan adı için yapılan DNS sorgusunda yanlış alan adı a22-65.akam.ne tespit edildi.
    • Mastercard, Akamai'nin DNS sunucularını kullanıyor ve tüm sunucu adlarının akam.net ile bitmesi gerekirken, bir sunucu yanlışlıkla akam.ne olarak yapılandırılmıştı.
    • Güvenlik danışmanı Philippe Caturegli bu hatayı keşfetti ve akam.ne alan adını kaydederek sorunu etkisiz hâle getirdi.

  • Potansiyel riskler ve alınan önlemler

    • Caturegli, akam.ne alan adı üzerinde bir DNS sunucusu kurduktan sonra dünyanın dört bir yanından yüz binlerce DNS isteği aldı.
    • Bir e-posta sunucusu da kursaydı, MasterCard.com veya etkilenen diğer alan adlarına yönelen e-postaları alabilirdi.
    • Caturegli, bu sorunu Mastercard'a bildirdi ve alan adını devralabilmeleri için olanak sağladı.

  • Mastercard'ın tepkisi

    • Mastercard, bu hatanın sistem güvenliği açısından bir tehdit oluşturmadığını savundu.
    • Bugcrowd üzerinden Caturegli'den LinkedIn gönderisini silmesi talep edildi.
    • Caturegli ise sorunu Bugcrowd üzerinden bildirmediğini, alan adını kötüye kullanımı önlemek için kaydettiğini açıkladı.

  • DNS sunucularının önemi

    • Çoğu kuruluş en az iki yetkili alan adı sunucusuna sahiptir.
    • Mastercard beş DNS sunucusu kullanıyor; bu nedenle yalnızca bir alan adını kontrol etmek, toplam DNS isteklerinin ancak yaklaşık beşte birini görmeyi sağlar.
    • Caturegli, pek çok kullanıcının ortak trafik yönlendiricileri veya DNS resolver'ları kullandığını, tek bir resolver yanlış sonucu önbelleğe alırsa çok daha fazla trafiğin başka yöne çevrilebileceğini belirtti.

  • Caturegli'nin ek görüşleri

    • Caturegli, Mastercard'ın kendisine teşekkür etmesini ya da alan adını satın alma maliyetini karşılamasını beklediğini söyledi.
    • Mastercard'ın kamuya açık açıklamasına LinkedIn'de karşı çıkarak DNS sorgu kayıtlarını paylaştı.

  • Diğer ilgili bilgiler

    • akam.ne alan adı ilk kez Aralık 2016'da kaydedildi ve 2018'de süresi doldu.
    • Benzer bir yazım hatası içeren alan adı awsdns-06.ne de bir Yandex kullanıcısı tarafından kaydedildi ve Almanya'daki bir ISP üzerinde barındırıldı.

İlgili okumalar

1 yorum

 
GN⁺ 2025-01-23
Hacker News görüşleri

  • Araştırmayla ilgili bir görüşe göre, herkese açık olarak kaydedilebilen nameserver'lar nadirdir; bunun yerine doğrudan bulut sağlayıcısının IP adreslerine eşleme yapılması daha yaygındır

    • Bulut hizmetlerinin kapsamı ve görünürlüğünün sınırlı olması nedeniyle şirketlerin alt alan adlarında zafiyet barındırma olasılığı daha yüksektir
    • Bug bounty programları çoğu zaman alt alan adı ele geçirmeyi geçerli bir güvenlik tehdidi olarak kabul etmez
    • Bu tür yapılandırma yönetimi hataları nedeniyle hassas bilgilerin sızdığı vakalar olmuştur
    • Mevcut zafiyet ifşa ortamı, şirketlerin zafiyeti kabul etmemesini kolaylaştırmaktadır
    • Bu tür zafiyetler TLS sertifikası düzenlemek için kötüye kullanılabilir

  • Bugcrowd ile ilgili anlatılanlar beklenmedik bir içerik

    • Bugcrowd'un platform dışındaki davranışları düzenlemeye çalışıyor olması ya da Mastercard'ın Bugcrowd çalışanı gibi davranıyor olması söz konusu olabilir
    • Her iki seçenek de arzu edilir değildir

  • Güvenlik araştırmacısının daha fazla kanıt toplamak için daha derine sızma ihtimali vardır

    • Etkinin küçümsenmemesi için araştırmacıya yeterli ödül verilmelidir
    • Araştırmacıyı bastırmaya yönelik girişimler, yanlış yönlendirilmiş bir PR çalışanının davranışı olabilir

  • akam.ne alan adı daha önce kaydedilmişti ve benzer yazım hatası içeren alan adlarının kaydedildiği örnekler var

    • Bu alan adları Almanya'daki internet sunucularına bağlıydı

  • Ukrayna'da MasterCard'ın SSL sertifikasının süresi dolduğu için çevrimiçi işlemlerde sorun yaşandı

    • Sertifika yenilenmedi ve hizmet fark edilmeden durdu

  • MasterCard'ın hatası nedeniyle, alan adının özgün TLD'den yalnızca bir harf farklı olduğu durumlarda sorun çıkabilir

    • Böyle alan adları mevcut olmasaydı hatalı DNS istekleri oluşmazdı

  • Vercel kullanan bir tedarikçide alan adı değişikliği nedeniyle bir güvenlik olayı yaşandı

    • Alan adı yeniden havuza döner dönmez bir saldırgan bunu ele geçirip kötü amaçlı yazılım dağıttı

  • Alan adının Akamai'ye verilmesi gerekirdi ve bunu ele alma sorumluluğu Akamai'ye aitti

  • Mastercard dışında Kanada'daki bankalarda ve Canada Post'ta da benzer sorunlar yaşandı

    • Canada Post sorunu çözdü, ancak banka sorunu çözdükten sonra yeniden ortaya çıkmasına neden oldu