Исследователь Алекс Шахов из SH Consulting обнаружил, злоумышленники перехватили сотни поддоменов крупнейших университетов США, включая Колумбийский, Стэнфордский, Гарвардский, Вашингтонский и Калифорнийский университет в Беркли, и опубликовали на них порно, спам и вирусы. Им это удалось благодаря уязвимости Dangling CNAME.
Как объясняет Шахов, вузы часто размещают небольшие проекты (студенческие сайты, лабораторные страницы) на сервисах вроде GitHub Pages, WP Engine и Azure. Для этого в DNS-настройках вуза создается запись CNAME, которая перенаправляет трафик с университетского поддомена на адрес внешнего хостинга.
Когда проект завершается, администраторы удаляют аккаунт на внешнем сервисе, но часто забывают стереть CNAME-запись из своих DNS. Эти «осиротевшие» записи остаются висеть годами, и хакеры сканируют интернет на такие уязвимости. Они регистрируют на внешнем сервисе аккаунт с точно таким же именем, какое указано в CNAME. После этого поддомен перестает перенаправлять на старый проект и начинает показывать новый контент — порно, спам или вредоносное ПО.
Проблема затронула более 30 вузов США. Эксперт рекомендует университетам регулярно сканировать DNS на оставшиеся после закрытых проектов записи либо внедрить автоматизированный аудит. Кроме того, рекомендуется установитьполитики удаления неиспользуемых поддоменов.
ссылка на оригинал статьи https://habr.com/ru/articles/1030204/