El equipo de investigación de Infoblox y Eclypsium ha descubierto un nuevo ataque de secuestro de dominio llamado “Sitting Ducks”. Este ataque afecta a más de un millón de dominios y se ha observado que varios atacantes relacionados con Rusia están utilizando esta técnica.
El sistema de nombres de dominio (DNS) es utilizado para vincular los nombres de dominio con las direcciones IP. Esto permite a los usuarios recordar fácilmente los nombres de los sitios web, mientras que los dispositivos electrónicos se comunican a través de direcciones IP. Sin embargo, este sistema también puede ser utilizado por los atacantes para llevar a cabo ataques maliciosos como la propagación de malware, phishing, suplantación de identidad y robo de datos.
Desde 2019, los investigadores de Eclypsium han identificado más de 30,000 dominios afectados por el ataque “Sitting Ducks”. Además, se estima que más de un millón de dominios están en riesgo de ser atacados.
Lo que hace que este ataque sea especialmente peligroso es que es fácil de ejecutar y difícil de detectar, pero puede ser completamente prevenido. Los atacantes aprovechan la configuración incorrecta de los registros DNS y de los proveedores de servicios de DNS para secuestrar los dominios ya registrados. Una vez que el dominio ha sido secuestrado, los atacantes pueden realizar cualquier actividad maliciosa en nombre del propietario legítimo, como la propagación de malware o el envío de correos electrónicos de phishing.
Este ataque es diferente de otros ataques de secuestro de DNS en el sentido de que no requiere que el atacante registre el dominio en cuestión. En cambio, se basa en errores de configuración en los proveedores de servicios de DNS y en los registros de los dominios.
Los investigadores de Infoblox han observado que más de una docena de proveedores de servicios de DNS están siendo utilizados para llevar a cabo este ataque, y los atacantes relacionados con Rusia son los más activos, secuestrando cientos de dominios cada día.
La figura 1 muestra un ejemplo del proceso de ataque “Sitting Ducks”. El proceso comienza cuando un usuario registra un dominio a través de un proveedor de registro (Registrar A) y lo delega a un proveedor de servicios de DNS (Auth DNS B). Más tarde, si el usuario ya no necesita el dominio, puede dejar que expire el servicio de DNS, lo que permite a los atacantes reclamar la propiedad del dominio y redirigirlo a un sitio malicioso. Cuando el usuario intenta reclamar la propiedad del dominio, el proveedor de servicios de DNS rechaza la solicitud.
Afortunadamente, este ataque puede ser prevenido. Los propietarios de dominios deben asegurarse de que su proveedor de registro y su proveedor de servicios de DNS sean la misma empresa para evitar este tipo de ataques. Si utilizan diferentes proveedores, deben asegurarse de que la configuración sea correcta. Además, se recomienda consultar con el proveedor de servicios de DNS para asegurarse de que tienen medidas de mitigación en su lugar.
Este tipo de ataque ha sido discutido en el pasado. En 2016, Matthew Bryant escribió un artículo sobre cómo él mismo secuestró más de 120,000 dominios a través de una vulnerabilidad en el DNS. En 2019, los atacantes aprovecharon una vulnerabilidad en GoDaddy.com para enviar correos electrónicos no deseados a gran escala.
Para evitar ser víctimas de este ataque, se recomienda a los propietarios de dominios que realicen las siguientes acciones:
– Verificar si su proveedor de registro y su proveedor de servicios de DNS son la misma empresa. Si es así, no son vulnerables a este ataque.
– Verificar si su dominio y subdominios están delegados a un proveedor de servicios de DNS expir