如果說網(wǎng)絡(luò)安全是企業(yè)的護(hù)城河，那么DNS就是企業(yè)的郵政編碼，DNS服務(wù)一旦遭到攻擊或者配置錯誤，后果不堪設(shè)想。

近日，據(jù)著名安全博主Krebs爆料，支付巨頭萬事達(dá)卡（MasterCard）存在一個持續(xù)近五年的DNS配置錯誤，差點讓這艘戒備森嚴(yán)的金融巨輪陷入萬劫不復(fù)的深淵。

1.長達(dá)五年的致命“小錯誤”

僅僅一個月前，MasterCard斥資數(shù)十億美元收購了全球最大的人工智能威脅情報公司Recorded Future，試圖打造“最懂安全的金融品牌”，但是一個小小的“人員疏忽”，差點斷送了MasterCard的所有努力。

研究者發(fā)現(xiàn)，多年前MasterCard系統(tǒng)管理人員在配置DNS服務(wù)器時因“手滑”，將用于引導(dǎo)mastercard.com網(wǎng)絡(luò)部分流量的核心DNS服務(wù)器之一的地址錯誤命名為“akam.ne”（本應(yīng)是akam.net，少打了一個“t”）。從2020年6月30日至2025年1月14日，這個錯誤配置存在了近五年未被發(fā)現(xiàn)。

配置錯誤的DNS地址：a22-65.akam.ne

眾所周知，DNS被譽為互聯(lián)網(wǎng)的“電話簿”，它將網(wǎng)站名稱轉(zhuǎn)換為計算機更易管理的數(shù)字互聯(lián)網(wǎng)地址。MasterCard依賴互聯(lián)網(wǎng)基礎(chǔ)設(shè)施提供商Akamai提供的五個共享DNS服務(wù)器，而這個錯誤域名配置（上圖），如同在電話簿中寫錯了號碼，任何人都可以通過注冊未使用的域名（akam.ne）來攔截或劫持MasterCard的互聯(lián)網(wǎng)流量。

這個難以覺察的錯誤，被目光敏銳的安全咨詢公司Seralys的創(chuàng)始人Philippe Caturegli捕捉到。他發(fā)現(xiàn)這個錯誤域名“akam.ne”未被注冊，且其頂級域名由西非國家尼日爾的域名管理機構(gòu)負(fù)責(zé)。Caturegli立即投入300美元，經(jīng)過近三個月的等待，成功注冊了該域名，從而防止了網(wǎng)絡(luò)犯罪分子可能的搶注行為。

DNS配置錯誤的巨大風(fēng)險

在啟用“akam.ne”上的DNS服務(wù)器后，Caturegli每天都收到來自全球各地的數(shù)十萬條DNS請求。顯然，MasterCard并非唯一一個在DNS條目中誤寫“akam.ne”的企業(yè)或組織，但它的流量最大。如果Caturegli惡意利用這個域名，他本可以啟用郵件服務(wù)器，接收原本發(fā)往mastercard.com或其他受影響域名的郵件；甚至可能獲取網(wǎng)站加密證書（SSL/TLS證書），這些證書被授權(quán)接受并轉(zhuǎn)發(fā)受影響網(wǎng)站的網(wǎng)絡(luò)流量；他還可能被動接收受影響公司員工電腦上的微軟Windows身份驗證憑據(jù)。

然而，Caturegli并未這么做。他秉持著負(fù)責(zé)任的態(tài)度，通知MasterCard該域名歸屬問題，并抄送了相關(guān)作者。幾小時后，MasterCard承認(rèn)了錯誤，但聲稱其運營從未真正面臨安全威脅。

大多數(shù)組織至少有兩個權(quán)威域名服務(wù)器，但像MasterCard這樣處理大量DNS請求的組織，需要將負(fù)載分散到更多的DNS服務(wù)器域名上。在MasterCard的案例中，這個數(shù)字是五個。因此，如果攻擊者設(shè)法控制了其中的一個域名，他們將只能看到大約五分之一的總DNS請求。

但Caturegli指出，現(xiàn)實情況是許多互聯(lián)網(wǎng)用戶在一定程度上依賴公共流量轉(zhuǎn)發(fā)器或DNS解析器，如Cloudflare和谷歌。因此，只要有一個解析器查詢他們的域名服務(wù)器并緩存結(jié)果，攻擊者就可以通過設(shè)置DNS服務(wù)器記錄的長TTL（生存時間）——一個可以調(diào)整網(wǎng)絡(luò)上數(shù)據(jù)包生命周期的設(shè)置——將目標(biāo)域名的錯誤指令傳播給大型云提供商?！坝辛碎LTTL，我們可能會重新路由遠(yuǎn)不止五分之一的流量?！彼f道。

2.MasterCard“恩將仇報”

雖然Caturegli避免了一場安全災(zāi)難，但是MasterCard卻并不領(lǐng)情，MasterCard發(fā)言人表示：“我們已經(jīng)調(diào)查了此事，我們的系統(tǒng)并未面臨風(fēng)險。這個錯誤拼寫現(xiàn)在已經(jīng)更正了?！钡虑椴⑽淳痛私Y(jié)束。MasterCard通過漏洞賞金平臺Bugcrowd向Caturegli發(fā)出請求，認(rèn)為他在領(lǐng)英上公開披露MasterCard DNS錯誤（在他注冊“akam.ne”域名后）的行為不符合道德安全實踐，并要求他刪除該帖子。

事實上，盡管Caturegli在Bugcrowd有賬戶，但他從未通過該平臺提交過任何內(nèi)容，而是直接向MasterCard報告了這一問題?！霸诠_披露之前，我確保受影響的域名已注冊，以防止被利用，減輕對MasterCard或其客戶的任何風(fēng)險。這一行動是我們自行承擔(dān)費用的，這表明了我們對道德安全實踐和負(fù)責(zé)任披露的承諾?！彼貞?yīng)道。

Caturegli還希望MasterCard至少能感謝他，或者承擔(dān)購買域名的費用，但MasterCard的回應(yīng)顯然讓他感到失望。他在領(lǐng)英的后續(xù)帖子中表示：“我們顯然不同意MasterCard的評估?！彼€公布了一些在報告問題之前記錄的DNS查詢截圖，以證明潛在風(fēng)險確實存在。