Durante más de 4 años, la infraestructura de MasterCard permaneció vulnerable debido a un error que permitía falsificar su servidor DNS. Este fallo fue detectado por un experto en seguridad de Seralys, quien menciona que el problema se originó a partir de un error tipográfico en la configuración de la infraestructura de pagos de MasterCard, al no implementarse DNSSEC.
Desde junio de 2020, en la lista de servidores DNS encargados de gestionar la zona, en lugar de incluir correctamente «a22-65.akam.net» de Akamai, se registró erróneamente «a22-65.akam.ne». Este pequeño error resultó ser significativo, ya que «.ne» corresponde al dominio de nivel superior de la República de Níger y «akam.ne» estaba disponible para su compra.
Esto significa que, durante más de cuatro años, cualquier persona podría haber adquirido «akam.ne», configurado un servidor DNS y manipular la zona DNS de Mastercard y redirigir tráfico legítimo de cualquier subdominio del sitio hacia servidores maliciosos. Además, dado que Mastercard no implementaba DNSSEC, una medida de seguridad que protege la integridad de los registros DNS, un atacante habría podido manipular al menos una quinta parte del tráfico del dominio, dado que el fallo afectaba a uno de los cinco servidores DNS registrados.
Para verificar el impacto de la vulnerabilidad, el investigador adquirió el dominio por 300 dólares y desplegó en él un rastreador de DNS con el objetivo de analizar el volumen de tráfico dirigido a esa dirección. Los resultados revelaron que MasterCard no era el único afectado, ya que otras zonas de dominio también presentaban el mismo error tipográfico, redirigiendo tráfico a «akam.ne» en lugar de «akam.net». Además, se descubrió que entre 2015 y 2018, este dominio estuvo registrado y posiblemente utilizado con fines maliciosos. La sospecha de que fue empleado en ataques se refuerza con el hecho de que su antiguo propietario también había registrado «awsdns-06.ne», cuya estructura imita a «awsdns-06.net», un servidor DNS legítimo de Amazon Web Services.
Este tipo de fallos pueden pasar desapercibidos por largos períodos, ya que la configuración de múltiples servidores DNS garantiza la tolerancia a fallos. En este caso, MasterCard ignoró inicialmente la notificación del investigador sobre el problema. Sin embargo, tras la intervención del periodista Brian Krebs, la empresa reconoció la vulnerabilidad y la corrigió, aunque minimizó su gravedad al afirmar que no representaba un riesgo para la infraestructura. Posteriormente, a través de Bugcrowd, una plataforma que gestiona recompensas por la identificación de vulnerabilidades, MasterCard solicitó la eliminación del informe público sobre el incidente.
Con la finalidad de confirmar de que el error no representaba un peligro significativo, presentó estadísticas de las consultas DNS recibidas, donde se identificaron solicitudes dirigidas a dominios del tipo *.az.mastercard.com. Estos dominios estaban vinculados a componentes alojados en la nube de Microsoft Azure, lo que indicaba que su compromiso podría haber tenido graves consecuencias para la seguridad de la infraestructura de MasterCard.
El impacto potencial de este error es significativo, ya que permitía a cualquier persona controlar uno de los cinco servidores DNS, un atacante podría haber desviado al menos el 20% del tráfico dirigido a Mastercard. Además, al establecer un TTL (Time to Live) elevado en la zona DNS falsificada, los registros maliciosos podrían permanecer en caché durante más tiempo en resolvers públicos como los de Cloudflare o Google, ampliando el alcance del ataque. Esto no solo permitiría la interceptación de tráfico, sino también la creación de subdominios fraudulentos para campañas de phishing.
Además, el control sobre uno de los servidores DNS habría facilitado la obtención de certificados TLS válidos a través de servicios como Let’s Encrypt, que verifican la propiedad del dominio mediante DNS. Esto abriría la puerta a ataques más sofisticados, como la creación de servidores de correo falsos para interceptar comunicaciones enviadas a direcciones @mastercard.com o la captura de credenciales de autenticación de empleados que utilizan Windows.
Finalmente, cabe mencionar que el investigador aclaró que, aunque tenía una cuenta en Bugcrowd, nunca solicitó ninguna recompensa por su hallazgo y que su intención al publicar el informe fue simplemente alertar sobre el problema después de que ya estuviera mitigado y el dominio estuviera bajo su control. A pesar de haber tomado medidas para proteger a la empresa de un posible ataque, no recibió compensación por los 300 dólares que gastó en la compra del dominio ni siquiera un reconocimiento por su labor.
Continúar leyendo...