Un reciente estudio liderado por WatchTowr Labs, en colaboración con la Fundación Shadowserver, ha expuesto un grave problema de seguridad digital: la reutilización de infraestructuras abandonadas por ciberdelincuentes. Al registrar dominios que previamente habían caducado, los investigadores lograron tomar el control de más de 4.000 puertas traseras activas, demostrando lo fácil que resulta para actores maliciosos explotar estas vulnerabilidades.
|
etiquetas: puertas traseras , dominios caducados 
Una empresa de acceso restringido confía en Pepe, para identificarse en esa empresa Pepe usa una tarjeta de identificación suya (el dominio). Pepe ya no quiere la tarjeta y la tira (caduca el dominio), la empresa no da de baja la identificación de… » ver todo el comentario
¿Tu sabes de lo que hablas? Sabes la diferencia entre dhcp y dns?
Sí, yo me pasé hace unos meses a unbound+kea en lugar de bind+isc dhcp.
-DNS en sus distintas implementaciones tiene vulnerabilidades (como todo). Parcheables (como todas las conocidas
-cuando un dominio expira, si lo renuevas tú puedes tener acceso a tener correos, webs, etc en ese dominio y por lo tanto autenticarte como si fueras la organización que tenía ese dominio.
-otro tema es que ese dominio haya sido usado por maleantes para desplegar C&C, y que intenten contactar con equipos (entradas tipo A o CNAME en el DNS) que usen ese dominio. Pero ahi no le acabo de ver el que, ya que no sabrias ni el cname utilizado, ni que C&C es , etc..
En definitiva, mucho ruido y pocas nueces... o hay algo que se me escapa
Si el atacante pierde el interés, y no renueva el dominio, alguien que lo compre puede empezar a recibir ese tráfico de los servidores comprometidos, lo que no tengo claro es cómo sabría el nuevo dueño del dominio cómo enviar comandos a esas máquinas, pero poder, podría hacerlo si supiera cómo funciona esa vulnerabilidad.
cc #21
es el dhcpd que le faltaba a zebra (bsd/isc) y quagga (gnu, tristemente). quagga es un fork de zebra de hace más de 20 años. estabas tú hace 25 en la seguridad o solo en parte?
casi todos los ruters, incluídos los mitrastar de telefónica llevan eso o similar flasheado.
y la intefaz web con micro_httpd o thttpd, o similares de marca ACME acme.com/software/micro_httpd/
www.nongnu.org/quagga/index.html
docs.frrouting.org/en/latest/zebra.html
no nos pasemos de listos.
Casi todos los routers llevan Kea? Los Cisco? Aruba? Ubiquiti? Microtik? O te refieres a los routers/AP de las operadoras para doméstico?
Si te refieres a ruters backbone:
CISCO usa dhcpd heredado de BSD, de FreeBSD en concreto. Juniper BSD también, más tirando a netBSD/oBSD, de hecho llevan Packet Filter de OpenBSD mejorado y la interfaz CLI está basada en FreeBSD. Hay otras marcas en europa como Siemens, etc.
Si tienes más duda, le escribes un mail a cisco irlanda o juniper alcobendas y te la resuelven.
Aruba (HP) es una basura tercermundista que copia el tráfico a los mericanos, equiparable a Huawei con chips raros y rutas paralelas a china que no sabes dónde te has metido...eso, si eres experto en seguridad lo sabes hace más de 10 años.
Ubiquity y Aruba, son domésticos, sí.
incluso cebolleo/TOR!
cve.mitre.org/cgi-bin/cvekey.cgi?keyword=isc+bind
todo transparente...
La recomendación de ISC es pasarse a KEA, la nueva implementación.
- www.isc.org/kea/
- cve.mitre.org/cgi-bin/cvekey.cgi?keyword=isc+kea
edit: veo que en #3 mencionas unos CVE. Creo que tienes que revisar tu concepto de "puerta trasera".
Puede haber mecanismos automáticos que envíen información a estos dominios y que no se desmantelasen cuando el dominio se dió de baja.