Más de un millón de dominios son vulnerables a un ataque conocido como Sitting Ducks, el cual explota fallas en el sistema de nombres de dominio (DNS). Según un análisis conjunto publicado por Infoblox y Eclypsium, este poderoso vector de ataque está siendo aprovechado por más de 12 actores cibernéticos con vínculos rusos para clandestinamente tomar el control de dominios registrados en servicios DNS autoritativos o proveedores de alojamiento web, sin necesidad de acceder a la cuenta real del propietario.
El ataque Sitting Ducks es más sencillo, probablemente exitoso y menos detectable que otros vectores de ataque de secuestro de dominio ampliamente conocidos, como los CNAME colgantes. Una vez que el dominio ha sido tomado, puede ser utilizado para actividades maliciosas como la distribución de malware y el envío de spam, aprovechando la confianza asociada con el propietario legítimo.
Aunque se ha documentado por primera vez en 2016, esta técnica de ataque sigue siendo poco conocida y sin resolver. Se estima que desde 2018, se han secuestrado más de 35,000 dominios mediante esta técnica.
Según la Dra. Renee Burton, vicepresidenta de inteligencia de amenazas en Infoblox, el problema radica en la configuración incorrecta del registro de dominio y el proveedor de DNS autoritativo, junto con la capacidad de reclamar la propiedad del dominio sin acceso a la cuenta del propietario válido en el registrador.
El ataque Sitting Ducks ha sido utilizado por diferentes actores de amenazas, y los dominios robados se han utilizado para alimentar varios sistemas de distribución de tráfico (TDS). Se recomienda a las organizaciones verificar sus dominios para detectar posibles vulnerabilidades y utilizar proveedores de DNS que ofrezcan protección contra Sitting Ducks.
Vía The Hacker News
