Indice dei contenuti

Che cos'è il DNS a penzoloni?

Indice dei contenuti

Per capire il dangling DNS, deve comprendere le basi del DNS. Il DNS è un protocollo che traduce i nomi di dominio facili da usare, come paloaltonetworks.com, che è facile da ricordare e riconoscere, in un indirizzo IP numerico. Gli indirizzi IP di ciascun dominio sono memorizzati nei server DNS autorevoli, che agiscono come gli elenchi telefonici di Internet. Quando si digita l'indirizzo di un sito web in un browser, questo si connette prima a un server DNS ricorsivo e pone la domanda: "Qual è l'indirizzo IP di paloaltonetworks.com?". Il server DNS ricorsivo invia una query al server autoritario per ottenere la risposta.

 

Che cos'è un CNAME

I tipi comuni di record memorizzati in un server autoritativo DNS sono Start of Authority (SOA), indirizzi IP, server di nomi (NS), puntatori per le ricerche DNS inverse (PTR) e record di nomi canonici (CNAME).

Un CNAME è un tipo di record del database DNS che funge da alias per un altro dominio e punta a un dominio invece che a un indirizzo IP. I record CNAME sono tipicamente utilizzati per indirizzare diversi siti web di proprietà della stessa organizzazione verso un sito web principale, per registrare gli stessi domini in diversi Paesi in modo che ogni dominio punti al dominio principale e molto altro ancora.

Supponiamo che la sua azienda, con il dominio superazienda[.]com, lanci un nuovo servizio o prodotto e crei un nuovo sottodominio con il nome di superprodotto[.]supercomany[.]com. Quando questo sottodominio è impostato come alias del dominio padre, che tutti riconoscono, il sottodominio, superproduct[.]supercomany[.]com, avrà un record CNAME che punta a supercompany[.]com.

 

DNS penzolanti

Mentre i record DNS indicano i nomi di dominio ad altri domini, quando un dominio viene abbandonato, quel record DNS viene lasciato a penzoloni, dove ora viene chiamato record DNS dangling. Poiché è abbandonato, questo dominio può essere facilmente dirottato dagli attori di minacce e utilizzato per ottenere l'accesso iniziale a una rete. Gli aggressori utilizzano spesso questa tecnica di Dangling DNS per il phishing e altri attacchi di ingegneria sociale. Ad esempio, supponiamo che superproduct.supercomany.com punti a un altro dominio, come superproduct.com, o a un host o IP esterno, come compute1234.amazonaws.com, e che l'azienda si allontani dal nome superproduct.com o dal nodo di calcolo che lo ospita, ma dimentichi che il CNAME superproduct.supercomany.com punta ancora al dominio in scadenza o all'host/IP esterno. Questo significa che il dominio principale supercomany.com è il primo per gli aggressori ad ospitare il loro sito dannoso. Un hacker può installare un certificato SSL con superproduct.supercomany.com e fornire contenuti dannosi a scapito della reputazione della sua azienda.

Per conoscere la sicurezza di rete di Palo Alto Networks, visiti https://www.paloaltonetworks.it/network-security/advanced-dns-security. Per maggiori informazioni sui DNS dangling, legga il nostro blog, Domini dangling: Minacce alla sicurezza, rilevamento e prevalenza.

 

FAQ sui DNS penzolanti

I record DNS pendenti possono rappresentare un rischio significativo per la sicurezza, perché puntano a domini o servizi non più validi o sotto il controllo del proprietario del dominio. Gli aggressori possono sfruttare questi record registrando domini scaduti, ottenendo il controllo sui sottodomini e utilizzandoli per intercettare il traffico, rubare dati sensibili, condurre attacchi di phishing o distribuire malware. Ciò può comportare l'accesso non autorizzato ai sistemi, la violazione dei dati o l'impersonificazione di servizi legittimi.
L'acquisizione di un sottodominio si verifica quando un aggressore ottiene il controllo di un sottodominio ancora attivo nei record DNS, ma che punta a una risorsa non più sotto il controllo del proprietario del dominio. I record DNS che non funzionano, in particolare i record CNAME o MX, spesso portano all'acquisizione di sottodomini. Per esempio, supponiamo che un record CNAME punti a un servizio esterno dismesso. In tal caso, un aggressore può registrare quel dominio esterno e dirottare il sottodominio, consentendogli di ospitare contenuti dannosi o intercettare le comunicazioni destinate al dominio legittimo.
Le organizzazioni possono proteggersi controllando e aggiornando regolarmente i record DNS per rimuovere quelli non più necessari o che puntano a risorse dismesse. Dovrebbero anche implementare misure di sicurezza come l'abilitazione di DMARC (Domain-based Message Authentication, Reporting, and Conformance) e DKIM (DomainKeys Identified Mail) per l'autenticazione delle e-mail, che possono aiutare a prevenire l'uso improprio dei record DNS negli attacchi di phishing o spoofing. Inoltre, l'utilizzo di record DNS alias legati a risorse attive può evitare che si verifichino riferimenti dangling.
Le vulnerabilità DNS pendenti possono essere sfruttate in vari modi, ad esempio attraverso i record DNS MX che puntano a domini scaduti, consentendo agli aggressori di intercettare le e-mail o di utilizzare il dominio per campagne di phishing. Allo stesso modo, gli aggressori possono puntare ai record CNAME inutilizzati per assumere il controllo dei sottodomini e ospitare contenuti dannosi. Le organizzazioni con domini e sottodomini multipli devono prestare molta attenzione a questi record per evitare un uso non autorizzato.
I record DNS pendenti interessano le organizzazioni di tutte le dimensioni, dalle startup alle grandi imprese. Mentre le grandi organizzazioni possono avere infrastrutture DNS più estese e quindi un rischio maggiore di record trascurati, anche le piccole aziende possono essere prese di mira se i loro record DNS non sono gestiti in modo adeguato. Il monitoraggio e la manutenzione regolari delle voci DNS sono fondamentali per ridurre questo rischio, indipendentemente dalle dimensioni dell'organizzazione.
Contenuti correlati
Protegga la sua rete con la sicurezza avanzata del DNS.
Scopra come salvaguardare la sua rete dagli attacchi, prevenire le violazioni dei dati e garantire una gestione della sicurezza di rete senza soluzione di continuità.
Video: Sicurezza avanzata dei DNS di Palo Alto Networks
Sbatte la porta alle minacce del livello DNS con la soluzione di sicurezza DNS più completa del settore.
Documento tecnico sulla sicurezza DNS avanzata
Protegga automaticamente il suo traffico DNS con Precision AI, una piattaforma di analisi basata sul cloud.
Scopra la sicurezza DNS avanzata
Blocca gli attacchi di dirottamento DNS in tempo reale con la sicurezza avanzata di rete con Precision AI di Palo Alto Networks.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce