GN⁺: 마스터카드 DNS 오류 수년간 미발견 문제

 (krebsonsecurity.com)
1P by neo 1달전 | ★ favorite | 댓글 1개

  • MasterCard의 DNS 설정 오류

    • MasterCard는 도메인 네임 서버 설정의 오류를 수정함.
    • 이 오류로 인해 사용되지 않는 도메인 이름을 등록하여 인터넷 트래픽을 가로채거나 우회할 수 있었음.
    • 이 오류는 약 5년 동안 지속되었으며, 보안 연구자가 $300를 들여 도메인을 등록하여 사이버 범죄자들이 이를 악용하지 못하도록 함.

  • 오류 발견 및 해결 과정

    • 2025년 1월 14일, az.mastercard.com 도메인에 대한 DNS 조회에서 잘못된 도메인 이름 a22-65.akam.ne가 발견됨.
    • MasterCard는 Akamai의 DNS 서버를 사용하며, 모든 서버 이름은 "akam.net"으로 끝나야 하지만, 하나의 서버가 "akam.ne"로 잘못 설정됨.
    • 보안 컨설턴트 Philippe Caturegli가 이 오류를 발견하고, akam.ne 도메인을 등록하여 문제를 해결함.

  • 잠재적 위험 및 대응

    • Caturegli는 akam.ne 도메인에 DNS 서버를 설정한 후, 전 세계에서 수십만 건의 DNS 요청을 수신함.
    • 이메일 서버를 설정했다면, MasterCard.com이나 다른 영향을 받은 도메인으로 향하는 이메일을 수신할 수 있었을 것임.
    • Caturegli는 MasterCard에 이 문제를 알리고, 도메인을 인수할 수 있도록 함.

  • MasterCard의 반응

    • MasterCard는 이 오류가 시스템 보안에 위협이 되지 않았다고 주장함.
    • Bugcrowd를 통해 Caturegli에게 LinkedIn 게시물을 삭제해 달라는 요청을 받음.
    • Caturegli는 Bugcrowd를 통해 문제를 보고하지 않았으며, 도메인을 등록하여 악용을 방지했다고 설명함.

  • DNS 서버의 중요성

    • 대부분의 조직은 최소 두 개의 권한 있는 도메인 네임 서버를 보유함.
    • MasterCard는 다섯 개의 DNS 서버를 사용하며, 하나의 도메인만 제어해도 전체 DNS 요청의 약 1/5만 볼 수 있음.
    • Caturegli는 공용 트래픽 포워더나 DNS 리졸버를 사용하는 사용자가 많아, 하나의 리졸버가 잘못된 결과를 캐시하면 더 많은 트래픽을 우회할 수 있다고 설명함.

  • Caturegli의 추가 의견

    • Caturegli는 MasterCard가 감사하거나 도메인 구매 비용을 보상할 것이라고 기대했음.
    • MasterCard의 공개 성명에 대해 LinkedIn에서 반박하며, DNS 조회 기록을 공유함.

  • 기타 관련 정보

    • akam.ne 도메인은 2016년 12월에 처음 등록되었으며, 2018년에 만료됨.
    • 비슷한 오타 도메인인 awsdns-06.ne도 Yandex 사용자에 의해 등록되었으며, 독일의 ISP에서 호스팅됨.
neo 1달전  [-]
Hacker News 의견

  • 연구와 관련된 의견으로, 공개 등록 가능한 네임서버는 드문 경우이며, 클라우드 제공자의 IP 주소로 직접 매핑되는 것이 더 흔함

    • 클라우드 서비스의 범위와 가시성 부족으로 인해 기업은 하위 도메인에서 취약점을 가질 가능성이 높음
    • 버그 바운티 프로그램은 종종 하위 도메인 탈취를 유효한 보안 위협으로 인정하지 않음
    • 이러한 구성 관리 실수로 인해 민감한 정보가 유출된 사례가 있음
    • 현재의 취약점 공개 환경은 기업이 취약점을 인정하지 않도록 쉽게 만듦
    • 이러한 취약점은 TLS 인증서를 발급하는 데 악용될 수 있음

  • Bugcrowd와 관련된 이야기는 예상 밖의 내용임

    • Bugcrowd가 플랫폼 외부의 행동을 규제하려고 하거나, Mastercard가 Bugcrowd 직원을 사칭하는 것일 수 있음
    • 두 가지 옵션 모두 바람직하지 않음

  • 보안 연구자가 더 많은 증거를 수집하기 위해 더 깊이 침투할 가능성이 있음

    • 연구자에게 충분한 보상을 제공하여 영향이 축소되도록 해야 함
    • 연구자를 억압하려는 시도는 잘못된 PR 직원의 행동일 수 있음

  • akam.ne 도메인은 이전에 등록된 적이 있으며, 유사한 오타 도메인이 등록된 사례가 있음

    • 이러한 도메인은 독일의 인터넷 서버와 연결되어 있었음

  • 우크라이나에서 MasterCard의 SSL 인증서가 만료되어 온라인 거래에 문제가 발생했음

    • 인증서 갱신이 이루어지지 않았고, 서비스가 조용히 중단됨

  • MasterCard의 실수로 인해 도메인이 원래 TLD와 한 글자 차이인 경우 문제가 발생할 수 있음

    • 이러한 도메인이 존재하지 않으면 잘못된 DNS 요청이 발생하지 않을 것임

  • Vercel을 사용하는 벤더의 도메인 변경으로 인해 보안 사고가 발생했음

    • 도메인이 풀로 돌아가자마자 공격자가 이를 획득하여 악성코드를 배포함

  • 도메인 이름을 Akamai에 제공했어야 하며, Akamai는 이를 처리할 책임이 있음

  • MasterCard 외에도 캐나다의 은행과 Canada Post에서도 유사한 문제가 발생했음

    • Canada Post는 문제를 해결했지만, 은행은 문제를 해결했다가 다시 발생시킴
답변달기