Dangling DNS-poster: En förbisedd säkerhetsrisk och hur man eliminerar den

Vad är dangling DNS-poster?

En dangling DNS-post avser alla DNS-poster som finns kvar i din domäns DNS-zon även om målet de pekar på inte längre är giltigt eller används. Denna situation uppstår vanligtvis på grund av förändringar i infrastruktur eller tjänster som inte åtföljs av motsvarande DNS-uppdateringar. Vanliga scenarier inkluderar:

• Avvecklade tjänster: Du kan till exempel ha en underdomän service.example.com som är inställd som en CNAME (alias) som pekar på en molntjänst (som en Azure- eller Amazon AWS-värd). Om du senare stänger av den molntjänsten eller flyttar den någon annanstans men glömmer att ta bort eller uppdatera DNS-posten, pekar service.example.com nu på ingenting (molnvärden finns inte längre). Denna övergivna post är en dangling record.
  
  
• Utgångna eller överförda domäner: Anta att din organisation hade en DNS-post som pekade på en extern domän (t.ex. en tredjepartsleverantörs domän) för en funktion eller kampanj som sedan har avslutats. Om den externa domänen löper ut eller du inte längre kontrollerar den blir alla DNS-poster som fortfarande refererar till den dangling. Samma sak kan hända om du tidigare ägde en domän (för ett projekt etc.) och lät den löpa ut medan poster i en annan zon fortfarande pekar på den.
  
  
• IP-adressändringar: A-poster mappar ett namn till en IP-adress. Om en servers IP-adress ändras eller en molninstans avprovisioneras kan den gamla IP-adressen släppas tillbaka till poolen. Alla DNS A-poster som fortfarande pekar på den gamla IP-adressen kan så småningom leda till någon annans server om den IP-adressen tilldelas någon annan. DNS-posten pekar på en IP-adress som du inte kontrollerar – en annan form av dangling referens.
  
  
• Äldre namnservrar eller e-postservrar: Ibland byter organisationer DNS-leverantör eller e-postleverantör men glömmer att rensa alla poster. Ett exempel är en NS-post som fortfarande listar en gammal namnservrar som inte längre är auktoritativ, eller en MX-post som pekar på en e-post host som har tagits ur bruk. Dessa oanvända NS- eller MX-poster är också dangling poster. 

I alla dessa fall är DNS-posterna i fråga inte längre kopplade till en legitim, aktiv resurs under din kontroll. De finns kvar i dina DNS-konfigurationer som en olåst bakdörr – och angripare vet hur de ska hitta och utnyttja dessa.

För att illustrera detta kan du tänka dig att en myndighet har en underdomän app.agency.gov konfigurerad som en CNAME som pekar på app.cloudprovider.com för en webbtjänst. Om myndigheten senare stänger ner den tjänsten och app.cloudprovider.com frigörs, men CNAME app.agency.gov finns kvar, kan en angripare registrera en ny tjänst på app.cloudprovider.com. Plötsligt kontrollerar angriparen nu app.agency.gov – en underdomän som fortfarande tillhör myndighetens domän. Detta är inte ett teoretiskt scenario; sådana felkonfigurationer har inträffat i praktiken, vilket understryker hur dangling DNS-poster direkt leder till kapning av underdomäner om de inte åtgärdas.

Varför dangling DNS-poster är farliga

Dangling DNS-poster utgör betydande säkerhetsrisker. När en angripare lyckas ta över den resurs som en hängande post pekar på får de delvis kontroll över din domäns identitet. Här är de viktigaste hoten och konsekvenserna att tänka på:

• Övertagande av underdomäner och identitetsstöld: Detta är den mest kända risken. En illvillig aktör som upptäcker en dangling DNS-post kan registrera den otilldelade tjänsten eller domänen och därmed ta över din underdomän. De kan sedan hosta vad som helst under den underdomänen – från en phishing-webbplats som ser legitim ut eftersom den finns på din officiella domän, till falska inloggningssidor eller bedrägliga tjänster. I användarnas ögon (eller till och med automatiska säkerhetsfilter) är innehåll som levereras från en legitim myndighets- eller företagsdomännamn förknippat med en viss grad av förtroende. Angripare utnyttjar detta förtroende för att utge sig för att vara organisationen och därmed potentiellt lura medborgare, kunder eller anställda.
  
  
• Nätfiske och leverans av skadlig programvara: När en angripare kontrollerar en av dina underdomäner kan de skicka övertygande nätfiskemejl eller leverera skadlig programvara under sken av din domän. Tänk dig till exempel att du får ett mejl från noreply@service.agency.gov – om service.agency.gov har kapats via en dangling DNS-post kan angripare använda den för att kringgå många skydd mot spoofing. Även robusta e-postsäkerhetsåtgärder som DMARC, som förhindrar utomstående från att spoofa din exakta domän, kan inte stoppa e-postmeddelanden som kommer från en legitim (men kapad) underdomän. Detta innebär att phishing-attacker kan verka mer autentiska, vilket ökar framgångsgraden.
  
  
• Dataavlyssning och sessionskapning: Om dangling subdomänen tidigare har använts för att vara värd för en applikation, API eller något innehåll som utbytt data med användare, kan en angripare utnyttja den för att stjäla information. Om api.example.com till exempel var en API-endpoint som glömdes bort kan en angripare som kontrollerar den samla in alla data eller förfrågningar som skickas till den API:n. På samma sätt kan alla cookies eller sessionstoken som är kopplade till den underdomänen (eller jokertecken-cookies för *.example.com) exponeras om en webbunderdomän tas över. Detta kan leda till kapning av användarsessioner eller exponering av känslig data utan att användaren märker det, eftersom de interagerar med en legitim domän.
  
  
• E-postkapning via MX-poster: En dangling MX-post (mail exchange record) är särskilt farlig. MX-poster dirigerar e-post för din domän till specifika e-postservrar. Om du har en MX som pekar på en e-postserver som mail.provider.com och den domänen upphör eller inte är under din kontroll kan en angripare ta över den domänen. Följaktligen kan de börja ta emot e-post som är avsedd för din organisation (för den underdomänen eller domänen). Känsliga e-postmeddelanden kan avlyssnas och angriparen kan till och med skicka e-postmeddelanden som om de kom från din organisations adress. Denna typ av intrång kan leda till betydande dataförluster och sekretessbrott.
  
  
• Manipulation av DNS-zoner (dangling NS-poster): Ett ofta förbises scenario är när en gammal DNS NS-post (namnserverdelegering) hänger kvar. Du har bytt DNS-leverantör men en NS-post för den gamla leverantörens server har aldrig tagits bort, eller så har du delegerat en underzon till en namnserver som inte längre finns. Om en angripare konfigurerar en namnservrar på det gamla värdnamnet kan de börja svara på DNS-frågor för din domän eller underdomän. Detta innebär i praktiken fullständig domänkontroll över den drabbade delen av din DNS – angriparen kan dirigera alla värdar under den underdomänen dit de vill (t.ex. omdirigera webbtrafik eller omdirigera valideringskontroller). Även om du har flera NS-poster kan många resolver acceptera svar från den komprometterade, vilket gör detta till ett allvarligt hot.
  
  
• Skada på anseende och förtroendeförlust: Utöver de direkta tekniska farorna bör du också tänka på anseendet. Om en officiell myndighets- eller företagsdomän plötsligt serverar skadlig kod eller phishing, undergräver det allmänhetens förtroende. Användarna kan förlora förtroendet för säkerheten i dina tjänster. För offentliga organ kan en kapad underdomän till och med bli ett nationellt säkerhetsproblem om den används för desinformation eller spionage. Kostnaden för organisationens trovärdighet kan bli hög, och återställningen (både tekniskt och anseendemässigt) är ofta tidskrävande.

Dangling DNS-poster är inte ett trivialt administrativt misstag – de är en säkerhetsrisk som angripare aktivt letar efter. Faktum är att säkerhetsforskare har upptäckt att detta problem är mycket utbrett. Studier under de senaste åren har avslöjat hundratusentals dangling DNS-poster på internet, vilket påverkar organisationer av alla storlekar. Även välskötta domäner inom myndigheter och utbildningssektorn visade sig ha ett stort antal dangling-poster som angripare kunde utnyttja. Detta understryker en viktig punkt: ingen organisation är för stor eller för liten för att bortse från DNS-hygien. Skillnaden mellan en säker domän och en komprometterad domän handlar ofta om noggrann underhåll.

Den goda nyheten är att dangling DNS-poster är helt möjliga att förebygga med rätt metoder – något vi kan kalla DNS-hygien. Precis som regelbunden hygien förebygger sjukdomar innebär DNS-hygien att du regelbundet rensar och övervakar dina DNS-konfigurationer för att hålla dem friska och säkra. Här är några bästa metoder och åtgärder som hjälper dig att lösa befintliga problem och förebygga framtida problem:

• Regelbundna DNS-granskningar: Planera regelbundna granskningar av alla DNS-poster i dina domäner (inklusive sekundära domäner och underdomäner). Målet är att identifiera alla poster som pekar på föråldrade eller okända mål. Leta efter poster som returnerar ett fel eller inget svar (till exempel CNAME-poster till domäner som inte kan namnupplösas eller A-poster till oanvända IP-adresser). Många organisationer utför dessa granskningar kvartalsvis eller halvårsvis, beroende på hur ofta deras infrastruktur förändras. Moderna DNS-hanteringsverktyg eller externa attack scanners kan hjälpa till att flagga trasiga eller misstänkta poster. Genom att rutinmässigt granska kan du upptäcka en dangling post innan en angripare gör det.
  
  
• Övervaka domän- och tjänstelivscykler: Det är viktigt att spåra livscykeln för de tjänster och domäner som är kopplade till din DNS. Håll en inventering över tredjepartstjänster, molnresurser och domäner som används av din organisation. När en tjänst tas ur drift eller en domän är på väg att löpa ut, se till att ha en process för att omedelbart uppdatera eller ta bort relaterade DNS-poster. Om du till exempel stänger av en Azure App-tjänst, se till att DNS CNAME som pekar på den tas bort samtidigt. Om du slutar använda en SaaS-produkt som krävde en DNS-post ska du ta bort den posten. Och håll naturligtvis ett öga på domänernas utgångsdatum. Låt aldrig en domän upphöra att gälla om din DNS fortfarande refererar till den.
  
  
• Integrera DNS-ändringar i ändringshanteringen: Många dangling poster kvarstår helt enkelt därför att borttagning av DNS-poster inte fanns med på checklistan när något ändrades. För att åtgärda detta bör du integrera DNS-underhåll i din ändringshanteringsprocess. Varje gång en server migreras, en IP-adress ändras eller en tjänst stängs av bör det finnas ett obligatoriskt steg för att verifiera relevanta DNS-poster. En enkel policy kan vara att inga molnresurser eller tjänster tas ur drift utan att man först har kontrollerat att DNS-posterna har hanterats. Detta kan kräva samordning mellan applikationsteam och DNS-administratörer, men det är ett nödvändigt steg. Med denna procedur på plats är det mycket mindre sannolikt att en föråldrad post faller mellan stolarna.
  
  
• Använd molnleverantörens säkerhetsfunktioner: Många molnleverantörer är medvetna om problem med övertagande av underdomäner och erbjuder funktioner för att minska antalet dangling referenser. Utnyttja dessa när det är möjligt. Azure DNS erbjuder till exempel aliasposter som kopplar en DNS-post till en Azure-resurs livscykel – om resursen raderas går DNS-posten automatiskt in i ett säkert läge (eller blir lättare att upptäcka som olöst). Azure App Service tillhandahåller också en valfri TXT-post för domänverifiering (ofta kallad asuid) som, om den är inställd, förhindrar andra Azure-kunder från att göra anspråk på ditt DNS-namn i sina tjänster. På samma sätt reserverar vissa leverantörer DNS-namnet för en nyligen raderad tjänst under en kort period för att ge dig en möjlighet att ta bort DNS-poster eller återkräva det i ditt eget konto. Utnyttja sådana funktioner där de finns tillgängliga, eftersom de ger ett extra säkerhetsnät. Men lita inte helt på dem – de kompletterar men ersätter inte god manuell DNS hygien.
  
  
• Automatisk skanning och varningar: Överväg att använda säkerhetsverktyg eller skript som automatiskt skannar efter dangling DNS-poster. Skript kan till exempel fråga alla dina underdomäner för att se om de namnupplöser till förväntade mål eller om de returnerar NX-svar (icke-existerande domän). Vissa avancerade plattformar för hotinformation och DNS-säkerhetstjänster kan kontinuerligt övervaka din DNS och varna om avvikelser som nya brutna länkar. Om du är en organisation med en stor DNS-footprint (till exempel många underdomäner i olika projekt) är denna typ av automatisering ovärderlig. Även vissa molnsäkerhetslösningar (som molnleverantörers säkerhetscenter eller tredjepartsverktyg för hantering av attackytor) flaggar specifikt potentiella risker för övertagande av underdomäner i din DNS. Tidig upptäckt gör att du kan åtgärda ett problem innan en angripare upptäcker det.
  
  
• Underhåll av gamla poster: Med åren, särskilt i stora organisationer eller organisationer inom den offentliga sektorn, ackumuleras det många ”dammiga” poster i DNS-zoner – skapade av tidigare anställda eller för projekt som sedan länge glömts bort. Det är förståeligt att administratörer kan vara tveksamma till att radera något om de inte är 100 % säkra på att det inte används. Detta leder dock till en gravplats för överflödiga poster. Skapa en rutin för att dokumentera DNS-posters syfte och rensa bort de som inte längre behövs. Om möjligt, implementera ett taggnings- eller beskrivningssystem för DNS-poster (vissa DNS-hanteringsgränssnitt tillåter kommentarer) för att ange ägare eller funktion. Om syftet med en post är oklart, undersöka den. I många fall kommer du att upptäcka att det faktiskt är säkert att ta bort den. Om du är helt osäker kan du åtminstone markera den för framtida granskning eller testa dess användning. Ju färre ströposter du har, desto mindre är målet för angripare.
  
  
• Förbättrad ansvarsskyldighet och kommunikation: DNS spänner ofta över flera team (utveckling, drift, nätverk etc.). För att undvika överflödiga poster är det bra att tilldela tydliga ansvarsområden för DNS-hantering och främja kommunikation. Om ett utvecklingsteam till exempel lanserar en ny extern tjänst och lägger till en DNS-post för den, ska de informera DNS-administrationsteamet och meddela dem när tjänsten tas bort. Vissa organisationer har en policy som säger att alla DNS-ändringar måste ha en tillhörande ärende eller ändringsbegäran som dokumenterar varför ändringen behövs. Detta skapar en revisionsspår och gör det enklare att senare gå tillbaka till posterna för att avgöra om de fortfarande behövs. Genom att bryta ner silos mellan team säkerställer du att DNS-poster uppdateras som en integrerad del av distributionen eller avvecklingen av alla tjänster.

Genom att följa ovanstående rutiner minskar du avsevärt risken för att lämna dangling DNS-poster liggande. Dessa åtgärder bildar tillsammans en robust DNS-hygienrutin som håller din domänmiljö snygg och säker. Målet är att behandla DNS-hantering som en viktig del av din säkerhetsstrategi, inte bara en nätverksuppgift som man ställer in och glömmer bort.

Slutsats

Dangling DNS-poster utgör en tyst men allvarlig sårbarhet i många organisationers nätverk. Konceptet är enkelt – något har glömts bort – men konsekvenserna kan vara långtgående, från komprometterade underdomäner till fullständiga säkerhetsöverträdelser. Både offentlig sektor och företag måste inse att DNS-poster inte är tillgångar som man konfigurerar en gång och sedan glömmer bort, utan att de kräver kontinuerlig underhåll och övervakning.

Den goda nyheten är att med initiativ och ansträngningar kan dangling DNS-problem helt förebyggas. Regelbunden rensning, noggrann övervakning och integrering av DNS-kontroller i dina standardiserade IT-processer kommer att täppa till denna lucka och stärka din övergripande säkerhet. Inför ökande cyberhot finns det inget enklare sätt att vinna än att fixa det du redan kontrollerar. Det är en enkel uppgift som kan stoppa opportunistiska angripare som ständigt letar efter den där glömda underdomänen som de kan utnyttja. Vänta inte tills en underdomän övertas eller en domän kapas och du tvingas lära dig läxan. Genom att redan nu anamma bästa praxis för DNS-hygien skyddar du din organisations rykte, data och användare från en undvikbar attackvektor. Kom ihåg att säkerhet ofta handlar om grunderna – och att hålla dina DNS-poster korrekta och uppdaterade är så grundläggande och viktigt som det kan bli.

Kontakta oss för en kostnadsfri rådgivning för att säkerställa att din DNS-infrastruktur är säker. Våra experter på Excedo Networks kan hjälpa dig att granska dina DNS-zoner, identifiera kvarvarande sårbarheter som dangling DNS-poster och guida dig i implementeringen av korrekta DNS-säkerhetsrutiner.

Agera idag för att täppa till denna lucka – en ren DNS-miljö är en säkrare miljö inom cybersäkerhet.