El Departamento de Seguridad Nacional (DHS) de EE. UU. Ha emitido hoy una «directiva de emergencia» para todas las agencias federales que ordenan al personal de TI que audite los registros DNS de sus respectivos dominios de sitios web u otros dominios administrados por la agencia, dentro de los próximos 10 días hábiles.
La alerta de seguridad de emergencia se produjo a raíz de una serie de incidentes recientes relacionados con el secuestro de DNS , que los investigadores de seguridad con «confianza moderada» creen que se originaron en Irán.
El Sistema de nombres de dominio (DNS) es una función clave de Internet que funciona como un directorio de Internet donde su dispositivo busca las direcciones IP del servidor después de ingresar una dirección web legible para las personas (por ejemplo, thehackernews.com).
¿Qué es DNS Hijacking Attack?
El secuestro de DNS implica cambiar la configuración de DNS de un dominio, redirigiendo a las víctimas a un servidor completamente diferente controlado por un atacante con una versión falsa de los sitios web que intentan visitar, a menudo con el objetivo de robar los datos de los usuarios.
«El atacante altera los registros de DNS, como los registros de Dirección (A), Intercambiador de correo (MX) o Servidor de nombres (NS), reemplazando la dirección legítima de un servicio con una dirección que controla el atacante», indica el aviso del DHS .
Los actores de amenazas han podido hacerlo mediante la captura de credenciales para las cuentas de administrador que pueden realizar cambios en los registros DNS. Dado que los atacantes obtienen certificados válidos para los nombres de dominio secuestrados , tener habilitado HTTPS no protegerá a los usuarios.
«Debido a que el atacante puede establecer valores de registro de DNS, también puede obtener certificados de cifrado válidos para los nombres de dominio de una organización. Esto permite que el tráfico redirigido se descifre, exponiendo los datos enviados por el usuario», dice la directiva.
Ataques recientes de secuestro de DNS contra sitios web gubernamentales
A principios de este mes, los investigadores de seguridad de Mandiant FireEye informaron una serie de incidentes de secuestro de DNS contra docenas de dominios pertenecientes al gobierno, infraestructura de Internet y entidades de telecomunicaciones en todo el Medio Oriente y África del Norte, Europa y América del Norte.
El aviso del DHS también establece que «CISA está al tanto de los dominios de múltiples agencias ejecutivas que se vieron afectados por la campaña de manipulación y notificó a las agencias que los mantienen».
A fines del año pasado, los investigadores de Cisco Talos también publicaron un informe de un sofisticado ataque de malware que comprometió las cuentas de los registradores de dominios de varios sitios web del gobierno del Líbano y los Emiratos Árabes Unidos (EAU).
DHS ordena a las agencias federales auditar la seguridad del DNS para sus dominios
El DHS ordena a las agencias federales que:
- auditar registros DNS públicos y servidores DNS secundarios para ediciones no autorizadas,
- actualizan sus contraseñas para todas las cuentas en sistemas que pueden usarse para manipular registros DNS,
- habilitar la autenticación multifactor para evitar cualquier cambio no autorizado en sus dominios, y
- monitorear los registros de transparencia de certificados.
Para aquellos que no lo saben, Certificate Transparency (CT) es un servicio público que permite a las personas y las empresas controlar cuántos certificados digitales han sido emitidos por cualquier autoridad de certificados de forma secreta para sus dominios.
El servicio de higiene cibernética de la Agencia de Seguridad de la Ciberseguridad y la Infraestructura (CISA) del DHS también comenzará una entrega regular de los certificados recién agregados al registro de CT para los dominios de las agencias federales de los EE. UU.
Una vez que el CISA comienza a distribuir estos registros, se requiere que las agencias gubernamentales comiencen a monitorear inmediatamente sus datos de registro de CT para los certificados emitidos que no solicitaron. Si alguna agencia encontró un certificado no autorizado, debe informarse a la autoridad emisora de certificados y al CISA.
Las agencias, excepto el Departamento de Defensa, la Agencia Central de Inteligencia (CIA) y la Oficina del Director de Inteligencia Nacional, tienen 10 días para implementar las directivas.
Fuente: thehackernews.com