MasterCard DNS错误五年未被发现:安全漏洞危机与研究员300美元救场!

MasterCard DNS错误五年未被发现:安全漏洞危机与研究员300美元救场!

支付巨头MasterCard暴露出长达五年的DNS配置错误,导致任何通过注册未使用的域名拦截或重定向其互联网流量。安全研究员Philippe Caturegli花费300美元注册了相关域名,防止其落入犯罪分子手中。这一事件凸显了网络安全的重要性,同时也彰显了Caturegli对道德安全实践的坚持。

Ze
Zen Huifer
January 30, 2025
5 min read

原文地址: https://krebsonsecurity.com/2025/01/mastercard-dns-error-went-unnoticed-for-years/

MasterCard DNS错误:五年未被发现

MasterCard DNS错误:五年未被发现,安全漏洞引发关注

近日,支付巨头MasterCard修复了一个长期存在的DNS错误,该错误可能导致任何人通过注册未使用的域名来拦截或重定向公司的互联网流量。这一配置错误持续了近五年,直到一位安全研究员花费300美元注册该域名,防止其被网络犯罪分子获取。

2025年1月14日对域名az.mastercard.com进行的DNS查找显示,错误输入的域名名称为a22-65.akam.ne。从2020年6月30日至2025年1月14日,MasterCard使用的核心互联网服务器之一在mastercard.com网络的部分流量中命名错误。mastercard.com依赖于五台由互联网基础设施提供商Akamai提供的共享域名系统(DNS)服务器。所有MasterCard使用的Akamai DNS服务器名称都应以“akam.net”结尾,但其中一台配置错误,依赖于域名“akam.ne”。

这一微小的但可能至关重要的错误最近由安全咨询公司Seralys的创始人Philippe Caturegli发现。Caturegli表示,他猜测没有人注册过域名akam.ne,该域名属于尼日尔顶级域名管理机构。Caturegli表示,他花费了300美元并等待了近三个月,才在尼日尔注册机构处注册了该域名。在启用akam.ne上的DNS服务器后,他注意到每天都有来自全球各地的数十万个DNS请求击中他的服务器。显然,MasterCard并不是唯一一个在DNS条目中不小心包含“akam.ne”的组织,但他们无疑是最大的。

Caturegli表示,如果他在他的新域名akam.ne上启用了电子邮件服务器,他可能会收到指向mastercard.com或其他受影响域名的误发电子邮件。如果他滥用他的访问权限,他可能能够获取授权接受和转发受影响网站流量的网站加密证书(SSL/TLS证书)。他甚至可能被动地接收受影响公司员工计算机的Microsoft Windows身份验证凭据。

然而,这位研究员表示,他没有尝试做任何这些事情。相反,他向MasterCard发出警报,如果他们想要该域名,他可以将该域名注册给他们,并抄送了本文作者的通知。几小时后,MasterCard承认了这一错误,但表示这从未对其实际运营构成真正威胁。

“我们已经调查了这个问题,对我们的系统没有风险,”一位MasterCard发言人写道。“这个错误现在已经纠正。”

与此同时,Caturegli收到了通过Bugcrowd提交的请求,该程序为发现漏洞并私下与受影响供应商合作修复它们的安全研究人员提供财务奖励和认可。信息表明,他通过LinkedIn上的一篇帖子(在注册akam.ne域名后)公开披露MasterCard DNS错误不符合道德安全实践,并转达了MasterCard要求删除该帖子的请求。

Caturegli表示,尽管他在Bugcrowd上有一个账户,但他从未通过Bugcrowd程序提交过任何内容,并且他直接向MasterCard报告了这个问题。

“我没有通过Bugcrowd披露这个问题,”Caturegli在回复中写道。“在做出任何公开披露之前,我确保受影响的域名已被注册,以减轻对MasterCard或其客户的风险。我们自费采取的这一行动,体现了我们对道德安全实践和负责任披露的承诺。”

大多数组织至少拥有两个权威域名服务器,但一些组织处理了大量的DNS请求,需要将负载分散到额外的DNS服务器域名上。在MasterCard的情况下,这个数字是五个,因此如果攻击者控制了其中任何一个域名,他们只能看到大约五分之一的总DNS请求。

然而,Caturegli表示,现实情况是许多互联网用户至少在一定程度上依赖于公共流量转发器或DNS解析器,如Cloudflare和Google。

“我们只需要其中一个解析器查询我们的名称服务器并缓存结果,”Caturegli说。“通过设置具有长TTL或‘生存时间’的DNS服务器记录——一个可以调整网络数据包生存期的设置——攻击者的针对目标域的毒化指令可以通过大型云提供商传播。”

“具有长TTL,我们可能会重定向比仅仅1/5更多的流量,”他说。

这位研究员表示,他希望信用卡巨头可能表示感谢,或者至少提出报销购买域名的费用。

“我们显然不同意这种评估,”Caturegli在LinkedIn上关于MasterCard公开声明的后续帖子中写道。“但我们将由你们来判断——以下是我们在报告问题之前记录的一些DNS查找。”

Caturegli发布了以下截图,显示了可能受到配置错误的域名影响的MasterCard域名。

如上图所示,Caturegli发现的配置错误的DNS服务器涉及MasterCard子域名az.mastercard.com。目前尚不清楚该子域名如何由MasterCard使用,但他们的命名约定表明这些域名对应于Microsoft Azure云服务中的生产服务器。

域名服务器配置错误:MasterCard面临安全风险

MasterCard DNS配置错误:长达五年的安全风险隐患

近日,支付巨头MasterCard修复了一个明显的域名服务器配置错误,该错误本可能导致任何人通过注册一个未使用的域名来拦截或重定向公司的互联网流量。这一错误持续了近五年,直到一位安全研究员花费300美元注册该域名,防止其被网络犯罪分子夺取。

2025年1月14日对域名az.mastercard.com的DNS查询显示,错误输入的域名名为a22-65.akam.ne。从2020年6月30日至2025年1月14日,MasterCard使用的核心互联网服务器之一,用于为mastercard.com网络的部分内容引导流量,名称设置错误。MasterCard.com依赖于互联网基础设施提供商Akamai的五台共享域名系统(DNS)服务器[DNS充当一种互联网电话簿,通过将网站名称转换为计算机易于管理的数字互联网地址]。

MasterCard使用的所有Akamai DNS服务器名称都应以“akam.net”结尾,但其中之一被错误配置为依赖于域名“akam.ne”。

这位名为Philippe Caturegli的安全咨询公司Seralys创始人最近发现了这个微小但可能关键的错误。Caturegli表示,他猜测没有人注册过名为akam.ne的域名,该域名属于尼日尔顶级域名管理机构。

Caturegli表示,他花费了300美元并等待了近三个月,才在尼日尔的管理机构中注册了该域名。在启用akam.ne上的DNS服务器后,他注意到每天有数十万次DNS请求从全球各地击中他的服务器。显然,MasterCard并非唯一一个在DNS条目中输入了“akam.ne”的错误组织,但他们无疑是其中最大的。

如果他在新的域名akam.ne上启用了邮件服务器,Caturegli可能会收到针对mastercard.com或其他受影响域名的误投邮件。如果他滥用了他的访问权限,他可能能够获得授权接受和转发受影响网站Web流量的网站加密证书(SSL/TLS证书)。他甚至可能被动地接收受影响公司员工计算机的Microsoft Windows身份验证凭据。

然而,这位研究员表示,他没有尝试做任何这些事情。相反,他向MasterCard发出警报,表示如果他们想要该域名,则该域名属于他们,并将此作者复制在他的通知中。几个小时后,MasterCard承认了这一错误,但表示这从未对其实际运营的安全构成真正威胁。

“我们已经调查了这个问题,我们的系统没有风险。”一位MasterCard发言人写道。“这个错误现在已经纠正。”

与此同时,Caturegli收到了通过Bugcrowd提交的请求,该程序为发现漏洞并私下与受影响供应商合作修复它们的安全研究人员提供财务奖励和认可。该消息表示,他通过在LinkedIn上发布帖子(在注册akam.ne域名后)公开披露MasterCard DNS错误不符合道德安全实践,并转达了MasterCard要求删除该帖子的请求。

Caturegli表示,尽管他在Bugcrowd上有一个账户,但他从未通过Bugcrowd程序提交过任何内容,并且他直接向MasterCard报告了这个问题。

“我没有通过Bugcrowd披露这个问题,”Caturegli在LinkedIn上的跟进帖子中写道。“在做出任何公开披露之前,我们确保受影响的域名已被注册,以减轻对MasterCard或其客户的风险。我们自行承担费用采取的这一行动,展示了我们对道德安全实践和负责任披露的承诺。”

大多数组织至少有两个权威域名服务器,但一些组织处理了大量的DNS请求,需要将这些请求分散到多个DNS服务器域名上。在MasterCard的情况下,这个数字是五个,因此如果攻击者设法控制了其中的一个域名,他们只能看到大约五分之一的整体DNS请求。

然而,Caturegli表示,现实情况是,许多互联网用户至少在一定程度上依赖于公共流量转发器或DNS解析器,如Cloudflare和Google。

“所以我们只需要其中一个解析器查询我们的名称服务器并将其缓存即可,”Caturegli说。“通过设置具有长TTL或“生存时间”的DNS服务器记录——这是一种可以调整数据包在网络上生存时间的设置——攻击者的针对目标域的毒化指令可以通过大型云提供商传播。”

“具有长TTL,我们可能会重路由比仅仅五分之一更多的流量,”他说。

这位研究员表示,他希望信用卡巨头可能会表示感谢,或者至少提出报销购买域名的费用。

“显然,我们不同意这种评估,”Caturegli在LinkedIn上的后续帖子中写道。“但我们将让您判断——以下是我们在报告问题之前记录的一些DNS查找。”

Caturegli发布了以下截图,显示了可能受到配置错误的域名影响的主机。

如上图所示,Caturegli发现的配置错误的DNS服务器涉及MasterCard子域名az.mastercard.com。目前尚不清楚该子域名如何由MasterCard使用,但他们的命名约定表明,这些域名对应于Microsoft Azure云服务中的生产服务器。

MasterCard DNS错误:潜在安全威胁分析

MasterCard DNS错误:潜在安全威胁分析

MasterCard近期修复了一个其域名服务器设置中的明显错误,这一错误本可能导致任何人通过注册一个未使用的域名来拦截或重定向公司的互联网流量。这一错误持续了近五年,直到一位安全研究员花费300美元注册该域名,防止其被网络犯罪分子夺走。

2025年1月14日对域名az.mastercard.com进行的DNS查找显示,错误的域名名称为a22-65.akam.ne。从2020年6月30日至2025年1月14日,MasterCard用于为mastercard.com网络部分部分流量进行路由的核心互联网服务器之一被错误命名。MasterCard.com依赖于五台由互联网基础设施提供商Akamai提供的共享域名系统(DNS)服务器 [DNS充当一种互联网电话簿,通过将网站名称转换为计算机更容易管理的数字互联网地址]。

MasterCard使用的所有Akamai DNS服务器名称都应该以“akam.net”结尾,但其中之一被错误配置为依赖于域名“akam.ne”。

这个微小的但可能关键的错误最近被安全咨询公司Seralys的创始人Philippe Caturegli发现。Caturegli表示,他猜测没有人注册过域名akam.ne,该域名属于尼日尔顶级域名管理机构。

Caturegli表示,他花费了300美元,并等待了近三个月才在尼日尔的管理机构中注册该域名。在启用akam.ne上的DNS服务器后,他注意到每天都有来自全球各地的数十万次DNS请求击中他的服务器。显然,MasterCard并非唯一一个在DNS条目中不小心包含“akam.ne”的组织,但他们无疑是最大的。

如果他在新域名akam.ne上启用了电子邮件服务器,Caturegli可能会收到指向mastercard.com或其他受影响域名的误投邮件。如果他滥用他的访问权限,他可能能够获取授权接受和转发受影响网站Web流量的网站加密证书(SSL/TLS证书)。他甚至可能被动地接收受影响公司员工计算机的Microsoft Windows身份验证凭据。

但研究员表示,他没有尝试做任何这些事情。相反,他向MasterCard发出警报,如果他们想要该域名,他可以将该域名注册给他们,并复制给作者的通知。几个小时后,MasterCard承认了这一错误,但表示其运营的安全从未真正受到威胁。

“我们已经调查了这个问题,并且我们的系统没有风险,”一位MasterCard发言人写道。“这个错误现在已经修正了。”

与此同时,Caturegli收到了通过Bugcrowd提交的请求,该程序为发现漏洞并私下与受影响供应商合作修复它们的安全研究人员提供财务奖励和认可。信息显示,他通过LinkedIn上的一篇帖子(在注册akam.ne域名后)公开披露MasterCard DNS错误,这与道德安全实践不符,并转达了MasterCard要求删除该帖子的请求。

Caturegli表示,尽管他在Bugcrowd上有一个账户,但他从未通过Bugcrowd程序提交过任何内容,并且他直接向MasterCard报告了这个问题。

“我没有通过Bugcrowd披露这个问题,”Caturegli在回复中写道。“在做出任何公开披露之前,我确保受影响的域名已被注册,以减轻对MasterCard或其客户的风险。我们采取的这一行动,即我们自己承担费用,展示了我们对道德安全实践和负责任披露的承诺。”

大多数组织至少有两个权威域名服务器,但一些组织处理了如此多的DNS请求,以至于他们需要将负载分散到额外的DNS服务器域名上。在MasterCard的情况下,这个数字是五个,因此如果攻击者设法控制了其中的一个域名,他们只能看到大约五分之一的整体DNS请求。

然而,Caturegli表示,现实情况是许多互联网用户至少在一定程度上依赖于公共流量转发器或DNS解析器,如Cloudflare和Google。

“所以我们只需要其中一个解析器查询我们的名称服务器并将结果缓存起来,”Caturegli说。“通过设置具有长TTL或‘生存时间’的DNS服务器记录——一个可以调整网络数据包生存期的设置——攻击者的针对目标域的毒化指令可以通过大型云提供商传播。”

“使用长TTL,我们可能重路由的不仅仅是1/5的流量,”他说。

研究员表示,他希望信用卡巨头可能表示感谢,或者至少提出承担购买域名的费用。

“我们显然不同意这种评估,”Caturegli在LinkedIn上关于MasterCard公开声明的后续帖子中写道。“但我们将让您判断——以下是我们报告问题之前记录的一些DNS查找。”

Caturegli发布了以下屏幕截图,显示了可能受到配置错误的域名影响的主机。

如上截图所示,Caturegli发现的配置错误的DNS服务器涉及MasterCard子域名az.mastercard.com。尚不清楚该子域名如何由MasterCard使用,但他们的命名约定表明这些域名对应于Microsoft Azure云服务中的生产服务器。

域名注册与安全:MasterCard DNS错误事件反思

MasterCard近期修复了一个明显的域名服务器配置错误,这一错误可能导致任何人都通过注册未使用的域名来拦截或重定向公司的互联网流量。这个配置错误持续了近五年,直到一位安全研究员花费300美元注册了该域名,以防止其被网络犯罪分子夺走。

从2020年6月30日到2025年1月14日,MasterCard使用的一个核心互联网服务器被错误命名,该服务器用于为mastercard.com网络的部分流量进行定向。MasterCard.com依赖于互联网基础设施提供商Akamai的五台共享域名系统(DNS)服务器。MasterCard使用的所有Akamai DNS服务器名称都应该以“akam.net”结尾,但其中一个被错误配置为依赖于“akam.ne”域名。

这一微小的但可能至关重要的错误最近被安全咨询公司Seralys的创始人Philippe Caturegli发现。Caturegli表示,他猜测没有人注册过尼日尔顶级域名权威机构下的akam.ne域名。他花费300美元并等待了近三个月才在尼日尔注册了该域名。

Caturegli发现,每天有数十万个DNS请求从全球各地涌入他的服务器。显然,MasterCard并不是唯一一个犯下将“akam.ne”包含在DNS条目中的组织,但他们无疑是其中最大的。

Caturegli表示,他并没有尝试进行任何操作,而是向MasterCard报告了这个问题,并附上了他的LinkedIn帖子。几个小时后,MasterCard承认了这一错误,但表示这从未对他们的运营安全构成真正威胁。

然而,Caturegli收到了一个通过Bugcrowd提交的请求,该请求建议他的公开披露MasterCard DNS错误(在注册akam.ne域名后)不符合道德安全实践,并转达了MasterCard要求删除帖子的请求。

Caturegli表示,尽管他在Bugcrowd上有一个账户,但他从未通过该程序提交过任何内容,而是直接向MasterCard报告了这个问题。

Caturegli表示,他希望MasterCard表示感谢,或者至少提出承担购买域名的费用。

Caturegli在LinkedIn上发布的一张截图显示,他发现的配置错误的DNS服务器涉及MasterCard子域名az.mastercard.com。虽然不清楚该子域名在MasterCard中的具体用途,但它们的命名约定表明,这些域名对应于微软Azure云服务的生产服务器。