US-CERT เตือน !! ตั้งค่า DNS ไม่ดี อาจเผยข้อมูลโดเมนได้

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ได้ประกาศแนะนำให้ผู้ดูแลระบบเซิฟเวอร์ DNS ตรวจสอบการตั้งค่าบนเครื่องเซิฟเวอร์ของตนอย่างละเอียดถี่ถ้วน เนื่องจากการตั้งค่าอย่างไม่ถูกต้องในการตอบคำร้องขอ AXFR (Asynchronous Transfer Full Range) อาจทำให้ข้อมูลสำคัญของโดเมนรั่วไหลออกไปได้

ภาพประกอบจาก http://www.information-age.com/
ภาพประกอบจาก http://www.information-age.com/

ประเด็นดังกล่าวไม่ใช่เรื่องใหม่ แต่ถูกยกขึ้นมาอีกครั้งเมื่อผลการตรวจสอบเว็บไซต์จำนวนหนึ่งล้านเว็บไซต์ยอดนิยมที่จัดอันดับโดย Alexa ระบุว่า มากกว่า 48,000 เซิฟเวอร์ DNS มีการตั้งค่าไม่เหมาะสม และส่งผลให้ข้อมูลรั่วไหลออกไป

“AXFR เป็นกระบวนการของระบบ DNS ในการแลกเปลี่ยนข้อมูลโซนของโดเมนจาก Master DNS Server (Primary) ไปยัง Slave DNS Server (Secondary) ซึ่ง Slave จะส่งคำร้องขอ AXFR ไปยัง Master ซึ่งจะตอบข้อมูลเกี่ยวกับโดเมน (โซน) กลับมาให้ ในกรณีที่ Master ไม่ได้ตรวจสอบที่มาของคำร้อง AXFR ให้ดี แฮ็คเกอร์สามารถดาวน์โหลดข้อมูลโซนของโดเมนจากเครื่อง Master นั้นได้ทันที” — นักวิจัยของ Internetwache อธิบาย

ข้อมูลโซนดังกล่าวอาจประกอบด้วยข้อมูลโครงสร้างระบบเครือข่ายภายใน และช้อมูลสำคัญอื่นๆที่ช่วยให้แฮ็คเกอร์ทำการโจมตีระบบ DNS ได้สะดวกมากยิ่งขึ้น เพื่อป้องกันความเสี่ยงดังกล่าว ทาง US-CERT แนะนำว่า ผู้ดูแลระบบควรตั้งค่าให้เซิฟเวอร์ DNS ตอบกลับคำร้อง AXFR เฉพาะหมายเลข IP ที่มั่นใจว่าถูกต้องเท่านั้น

สามารถตรวจสอบการตั้งค่าผิดพลาดผ่านทาง http://checkdnspropagation.com/axfr/

ที่มา: Zorz, Z. (2015). Misconfigured DNS servers may leak domain info, warns US-CERT. Help Net Security. Retrieved 16 April 2015, from http://www.net-security.org/secworld.php?id=18212


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …

ฟรี eBook: คู่มือ PDPA สำหรับประชาชน

หลังจากเปิดให้ดาวน์โหลด eBook เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ไปเมื่อไม่กี่วันที่ผ่านมา ล่าสุดสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook อีกฉบับเรื่อง “คู่มือ PDPA สำหรับประชาชน” …