如果說網(wǎng)絡(luò)安全是企業(yè)的護(hù)城河，那么DNS就是企業(yè)的郵政編碼，DNS服務(wù)一旦遭到攻擊或者配置錯(cuò)誤，后果不堪設(shè)想。

近日，據(jù)著名安全博主Krebs爆料，支付巨頭萬事達(dá)卡（MasterCard）存在一個(gè)持續(xù)近五年的DNS配置錯(cuò)誤，差點(diǎn)讓這艘戒備森嚴(yán)的金融巨輪陷入萬劫不復(fù)的深淵。

1.長達(dá)五年的致命“小錯(cuò)誤”

僅僅一個(gè)月前，MasterCard斥資數(shù)十億美元收購了全球最大的人工智能威脅情報(bào)公司Recorded Future，試圖打造“最懂安全的金融品牌”，但是一個(gè)小小的“人員疏忽”，差點(diǎn)斷送了MasterCard的所有努力。

研究者發(fā)現(xiàn)，多年前MasterCard系統(tǒng)管理人員在配置DNS服務(wù)器時(shí)因“手滑”，將用于引導(dǎo)mastercard.com網(wǎng)絡(luò)部分流量的核心DNS服務(wù)器之一的地址錯(cuò)誤命名為“akam.ne”（本應(yīng)是akam.net，少打了一個(gè)“t”）。從2020年6月30日至2025年1月14日，這個(gè)錯(cuò)誤配置存在了近五年未被發(fā)現(xiàn)。

配置錯(cuò)誤的DNS地址：a22-65.akam.ne

眾所周知，DNS被譽(yù)為互聯(lián)網(wǎng)的“電話簿”，它將網(wǎng)站名稱轉(zhuǎn)換為計(jì)算機(jī)更易管理的數(shù)字互聯(lián)網(wǎng)地址。MasterCard依賴互聯(lián)網(wǎng)基礎(chǔ)設(shè)施提供商Akamai提供的五個(gè)共享DNS服務(wù)器，而這個(gè)錯(cuò)誤域名配置（上圖），如同在電話簿中寫錯(cuò)了號碼，任何人都可以通過注冊未使用的域名（akam.ne）來攔截或劫持MasterCard的互聯(lián)網(wǎng)流量。

這個(gè)難以覺察的錯(cuò)誤，被目光敏銳的安全咨詢公司Seralys的創(chuàng)始人Philippe Caturegli捕捉到。他發(fā)現(xiàn)這個(gè)錯(cuò)誤域名“akam.ne”未被注冊，且其頂級域名由西非國家尼日爾的域名管理機(jī)構(gòu)負(fù)責(zé)。Caturegli立即投入300美元，經(jīng)過近三個(gè)月的等待，成功注冊了該域名，從而防止了網(wǎng)絡(luò)犯罪分子可能的搶注行為。

DNS配置錯(cuò)誤的巨大風(fēng)險(xiǎn)

在啟用“akam.ne”上的DNS服務(wù)器后，Caturegli每天都收到來自全球各地的數(shù)十萬條DNS請求。顯然，MasterCard并非唯一一個(gè)在DNS條目中誤寫“akam.ne”的企業(yè)或組織，但它的流量最大。如果Caturegli惡意利用這個(gè)域名，他本可以啟用郵件服務(wù)器，接收原本發(fā)往mastercard.com或其他受影響域名的郵件；甚至可能獲取網(wǎng)站加密證書（SSL/TLS證書），這些證書被授權(quán)接受并轉(zhuǎn)發(fā)受影響網(wǎng)站的網(wǎng)絡(luò)流量；他還可能被動(dòng)接收受影響公司員工電腦上的微軟Windows身份驗(yàn)證憑據(jù)。

然而，Caturegli并未這么做。他秉持著負(fù)責(zé)任的態(tài)度，通知MasterCard該域名歸屬問題，并抄送了相關(guān)作者。幾小時(shí)后，MasterCard承認(rèn)了錯(cuò)誤，但聲稱其運(yùn)營從未真正面臨安全威脅。

大多數(shù)組織至少有兩個(gè)權(quán)威域名服務(wù)器，但像MasterCard這樣處理大量DNS請求的組織，需要將負(fù)載分散到更多的DNS服務(wù)器域名上。在MasterCard的案例中，這個(gè)數(shù)字是五個(gè)。因此，如果攻擊者設(shè)法控制了其中的一個(gè)域名，他們將只能看到大約五分之一的總DNS請求。

但Caturegli指出，現(xiàn)實(shí)情況是許多互聯(lián)網(wǎng)用戶在一定程度上依賴公共流量轉(zhuǎn)發(fā)器或DNS解析器，如Cloudflare和谷歌。因此，只要有一個(gè)解析器查詢他們的域名服務(wù)器并緩存結(jié)果，攻擊者就可以通過設(shè)置DNS服務(wù)器記錄的長TTL（生存時(shí)間）——一個(gè)可以調(diào)整網(wǎng)絡(luò)上數(shù)據(jù)包生命周期的設(shè)置——將目標(biāo)域名的錯(cuò)誤指令傳播給大型云提供商。“有了長TTL，我們可能會(huì)重新路由遠(yuǎn)不止五分之一的流量。”他說道。

2.MasterCard“恩將仇報(bào)”

雖然Caturegli避免了一場安全災(zāi)難，但是MasterCard卻并不領(lǐng)情，MasterCard發(fā)言人表示：“我們已經(jīng)調(diào)查了此事，我們的系統(tǒng)并未面臨風(fēng)險(xiǎn)。這個(gè)錯(cuò)誤拼寫現(xiàn)在已經(jīng)更正了。”但事情并未就此結(jié)束。MasterCard通過漏洞賞金平臺(tái)Bugcrowd向Caturegli發(fā)出請求，認(rèn)為他在領(lǐng)英上公開披露MasterCard DNS錯(cuò)誤（在他注冊“akam.ne”域名后）的行為不符合道德安全實(shí)踐，并要求他刪除該帖子。

事實(shí)上，盡管Caturegli在Bugcrowd有賬戶，但他從未通過該平臺(tái)提交過任何內(nèi)容，而是直接向MasterCard報(bào)告了這一問題。“在公開披露之前，我確保受影響的域名已注冊，以防止被利用，減輕對MasterCard或其客戶的任何風(fēng)險(xiǎn)。這一行動(dòng)是我們自行承擔(dān)費(fèi)用的，這表明了我們對道德安全實(shí)踐和負(fù)責(zé)任披露的承諾。”他回應(yīng)道。

Caturegli還希望MasterCard至少能感謝他，或者承擔(dān)購買域名的費(fèi)用，但MasterCard的回應(yīng)顯然讓他感到失望。他在領(lǐng)英的后續(xù)帖子中表示：“我們顯然不同意MasterCard的評估。”他還公布了一些在報(bào)告問題之前記錄的DNS查詢截圖，以證明潛在風(fēng)險(xiǎn)確實(shí)存在。