数据观澜网络安全
快捷导航
您的位置:首页>电脑教程>>万事达卡爆出致命DNS错误配置 >

万事达卡爆出致命DNS错误配置

  发布时间:2025-12-07 20:33:04   作者:玩站小弟   我要评论
如果说网络安全是企业的护城河,那么DNS就是企业的邮政编码,DNS服务一旦遭到攻击或者配置错误,后果不堪设想。近日,据著名安全博主Krebs爆料,支付巨头万事达卡MasterCard)存在一个持续近五 。

如果说网络安全是事误配企业的护城河,那么DNS就是爆出企业的邮政编码,DNS服务一旦遭到攻击或者配置错误 ,致命置后果不堪设想 。事误配

近日,爆出据著名安全博主Krebs爆料 ,致命置支付巨头万事达卡(MasterCard)存在一个持续近五年的事误配DNS配置错误 ,差点让这艘戒备森严的爆出金融巨轮陷入万劫不复的深渊 。

1.长达五年的致命置致命“小错误”

仅仅一个月前,服务器租用MasterCard斥资数十亿美元收购了全球最大的事误配人工智能威胁情报公司Recorded Future,试图打造“最懂安全的爆出金融品牌”,但是致命置一个小小的“人员疏忽”,差点断送了MasterCard的事误配所有努力 。

研究者发现  ,爆出多年前MasterCard系统管理人员在配置DNS服务器时因“手滑”,致命置将用于引导mastercard.com网络部分流量的核心DNS服务器之一的地址错误命名为“akam.ne”(本应是akam.net,少打了一个“t”) 。免费模板从2020年6月30日至2025年1月14日,这个错误配置存在了近五年未被发现。

配置错误的DNS地址 :a22-65.akam.ne

众所周知,DNS被誉为互联网的“电话簿” ,它将网站名称转换为计算机更易管理的数字互联网地址。MasterCard依赖互联网基础设施提供商Akamai提供的五个共享DNS服务器 ,而这个错误域名配置(上图) ,如同在电话簿中写错了号码 ,任何人都可以通过注册未使用的域名(akam.ne)来拦截或劫持MasterCard的互联网流量。

这个难以觉察的模板下载错误 ,被目光敏锐的安全咨询公司Seralys的创始人Philippe Caturegli捕捉到  。他发现这个错误域名“akam.ne”未被注册,且其顶级域名由西非国家尼日尔的域名管理机构负责  。Caturegli立即投入300美元 ,经过近三个月的等待,成功注册了该域名 ,从而防止了网络犯罪分子可能的抢注行为  。

DNS配置错误的巨大风险

在启用“akam.ne”上的DNS服务器后 ,云计算Caturegli每天都收到来自全球各地的数十万条DNS请求 。显然 ,MasterCard并非唯一一个在DNS条目中误写“akam.ne”的企业或组织  ,但它的流量最大。如果Caturegli恶意利用这个域名 ,他本可以启用邮件服务器  ,接收原本发往mastercard.com或其他受影响域名的邮件;甚至可能获取网站加密证书(SSL/TLS证书),这些证书被授权接受并转发受影响网站的网络流量;他还可能被动接收受影响公司员工电脑上的微软Windows身份验证凭据。

然而,Caturegli并未这么做。香港云服务器他秉持着负责任的态度,通知MasterCard该域名归属问题 ,并抄送了相关作者。几小时后 ,MasterCard承认了错误 ,但声称其运营从未真正面临安全威胁 。

大多数组织至少有两个权威域名服务器,但像MasterCard这样处理大量DNS请求的组织 ,需要将负载分散到更多的DNS服务器域名上 。在MasterCard的案例中,这个数字是五个。亿华云因此 ,如果攻击者设法控制了其中的一个域名,他们将只能看到大约五分之一的总DNS请求 。

但Caturegli指出,现实情况是许多互联网用户在一定程度上依赖公共流量转发器或DNS解析器,如Cloudflare和谷歌。因此,只要有一个解析器查询他们的域名服务器并缓存结果  ,攻击者就可以通过设置DNS服务器记录的长TTL(生存时间)——一个可以调整网络上数据包生命周期的设置——将目标域名的错误指令传播给大型云提供商。“有了长TTL ,我们可能会重新路由远不止五分之一的流量。”他说道 。

2.MasterCard“恩将仇报”

虽然Caturegli避免了一场安全灾难,但是MasterCard却并不领情,MasterCard发言人表示 :“我们已经调查了此事 ,我们的系统并未面临风险。这个错误拼写现在已经更正了。”但事情并未就此结束 。MasterCard通过漏洞赏金平台Bugcrowd向Caturegli发出请求,认为他在领英上公开披露MasterCard DNS错误(在他注册“akam.ne”域名后)的行为不符合道德安全实践 ,并要求他删除该帖子。

事实上 ,尽管Caturegli在Bugcrowd有账户,但他从未通过该平台提交过任何内容 ,而是直接向MasterCard报告了这一问题 。“在公开披露之前 ,我确保受影响的域名已注册 ,以防止被利用 ,减轻对MasterCard或其客户的任何风险 。这一行动是我们自行承担费用的,这表明了我们对道德安全实践和负责任披露的承诺。”他回应道 。

Caturegli还希望MasterCard至少能感谢他,或者承担购买域名的费用 ,但MasterCard的回应显然让他感到失望 。他在领英的后续帖子中表示 :“我们显然不同意MasterCard的评估。”他还公布了一些在报告问题之前记录的DNS查询截图 ,以证明潜在风险确实存在 。

  • Tag:

相关文章

  • 2024 RSAC大会值得关注的10款安全新品

    一年一度的RSAC大会将于5月6日至9日举行。今年大会以“可能的艺术”the Art of Possible)为主题,将通过高峰论坛、竞赛活动、展览等多种方式,呈现网络安全行业发展的新理念、新技术、新
    2025-12-07

  • 保护移动设备免受恶意软件侵害优秀方法

    前些日子,移动恶意软件攻击增加了500%。很显然,我们中的大多数人都没好好保护自己的手机,下面小编来揭示一下有效保护移动设备免受恶意软件侵害的最佳方法。1、使用移动反恶意软件 恶意软件可
    2025-12-07

  • 瑞数信息加入UOS主动安全防护计划(UAPP),构筑可信可控的数字安全屏障

    近日,由统信软件与龙芯中科联合主办,电子工业出版社华信研究院与北京信息化协会信息技术应用创新工作委员会支持的“2023通明湖论坛信息技术基础底座创新发展分论坛”在北京正式举办。会上,UOS主动安全防护
    2025-12-07

  • 黑客向 NPM 发送大量伪造包,引发 DoS 攻击

    The Hacker News 网站披露,攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包,这些软件包导致了短暂拒绝服务DoS)攻击。Checkmarx 的研究人员 Jossef Haru
    2025-12-07

  • 新窃密软件 NodeStealer 可以窃取所有浏览器 Cookie

    Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户,包含虚假 Facebook 消息并带有
    2025-12-07

  • 如何使用Evilgrade测试应用程序的升级机制是否安全

    关于EvilgradeEvilgrade是一款功能强大的模块化框架,该框架允许广大研究人员通过向目标应用程序注入伪造的更新代码,并利用存在安全问题的更新实现机制来测试目标升级更新功能的安全性。该工具提
    2025-12-07

最新评论