DNS colgantes: Un riesgo de seguridad oculto que no debe ignorar

Muchos ataques en línea pueden resolverse mediante software e instrumentos específicos. La situación del DNS «colgado» es algo diferente y está relacionada, sobre todo, con la falta de procesos internos en la organización y con los errores humanos.

En este artículo analizaremos los procesos relacionados con el DNS «colgado» y algunos mecanismos de prevención.  

¿Qué es el DNS «pendiente»?

El DNS «pendiente» es una vulnerabilidad que surge cuando los registros DNS apuntan a un recurso eliminado o que ya no se utiliza. En este caso, a pesar de la posible eliminación del dominio, el registro DNS no se elimina ni se actualiza.

Esta situación plantea riesgos, ya que un atacante podría aprovecharla para configurar un recurso en una dirección desocupada o incluso registrar un recurso cuyo plazo de validez haya expirado.

¿Cómo surge un DNS «suspenso»?

Ejemplo 1:

Comencemos con el primer ejemplo, en el que hay un subdominio que antes se utilizaba para enviar correos electrónicos, pero que ahora no funciona. Este servicio no se utiliza y usted ha retirado del servicio el nodo y el host, pero por alguna razón se olvidó de eliminar el CNAME.

Esto significa que este registro olvidado es un DNS «suspenso», ya que es imposible controlarlo. Gracias a esta vulnerabilidad, los hackers pueden aprovechar esta situación para realizar phishing u otros intentos de ataque. Cuando los estafadores detectan esta vulnerabilidad, asignan al recurso de Azure el mismo FQDN que se utilizaba anteriormente. A partir de ese momento, todo el tráfico puede ser controlado por los hackers gracias al CNAME. A través del CNAME, todos los recursos DNS se redirigen a un servicio externo .

Ejemplo 2:

Otro escenario se refiere a un subdominio que no existe, pero que anteriormente se utilizaba para enviar correo electrónico a una empresa externa . El CNAME apunta al dominio de una empresa que no existe. Dado que el dominio ha caducado, cualquiera puede aprovecharse de él.

Los hackers pueden detectar fácilmente esta información y utilizar este dominio. A continuación, pueden hacerse con el control de los recursos DNS del antiguo subdominio, incluyendo los registros DKIM, A y MX.

¿Qué riesgos potenciales conlleva un DNS «suspenso»?

En caso de que un registro DNS apunte a un dominio que no está disponible, el primer paso debe ser eliminarlo de la zona DNS. Si no se hace esto, las consecuencias serán evidentes, tal y como ya hemos comentado en los ejemplos anteriores.

Dado que el uso de subdominios es legítimo, los hackers pueden utilizar fácilmente software malicioso u otro contenido dañino. Cuando un hacker obtiene el control de un subdominio, puede configurarlo a su antojo e incluso interceptar las solicitudes. Cuando los usuarios legítimos visitan este servicio, el servidor del atacante obtiene los tokens de sesión, lo que puede dar lugar a un acceso no autorizado a las cuentas de los usuarios.

Los subdominios que utilizan los hackers parecen muy realistas y, en algunas situaciones, ni siquiera DMARC puede detener esta actividad ilegal. Los hackers pueden simplemente utilizar un subdominio autenticado.   

Otra amenaza posible surge cuando un hacker obtiene una dirección IP para interceptar el tráfico. Tras la retirada de un dominio concreto, la información sobre su dirección IP sigue estando disponible. Por lo tanto, los atacantes pueden utilizar esa dirección IP y registrar solicitudes.

Estas acciones maliciosas pueden derivar en los siguientes tipos de ataques:

• MITM o ataque «hombre en el medio».
• XSS o scripting entre sitios.
• CSRF
• Elusión de CORS.

¿Cómo prevenirlo?

Existen varios mecanismos eficaces que pueden ayudar a prevenir la aparición de un DNS «colgado». La mayoría de las recomendaciones se refieren a la optimización de algunos procesos fundamentales.

• Auditorías periódicas del DNS. Durante las revisiones periódicas se puede determinar si todos los puntos de entrada están controlados y activos. Dependiendo de la cantidad de recursos, estas revisiones deben realizarse al menos una vez al trimestre o con mayor frecuencia, según las necesidades.
• Supervisión de la caducidad de los dominios. Esto debe ser una práctica constante para prevenir algunos riesgos graves.
• Procesos de retirada del servicio. Al retirar recursos del servicio, es muy importante eliminar todos los registros DNS relacionados, y esto debe hacerse lo antes posible.