Útok na registrátora Gransy (SubReg)

Útok na registrátora Gransy (SubReg)

Možná jste postřehli informaci o tom, že do serverů společnosti Gransy se dostal jeden či více útočníků a znehodnotil jim data. Gransy je provozovatelem služby SubReg, přes kterou může mít řada z vás registrované domény. Pokud máte na SubRegu domény, tak i přes optimistické zprávy na Facebooku je potřeba si dát pozor.

Podle Gransy došlo k napadení serverů a smazání části dat. Na jejich Twitter účtu se objevil i příspěvek, který zaslal pravděpodobně útočník, takže je reálné se domnívat, že útok šel přes počítač jednoho či více zaměstnanců. U takto provedených útoků dochází k několika věcem:

  • Napadený subjekt se snaží co nejrychleji nahodit služby i za cenu zničení dat důležitých pro pozdější analýzu.
  • Útočník měl plný přístup k datům po neznámou dobu.
  • Bez detailní analýzy provozu na síti nelze zjistit, zda data nebyla zkopírovaná na servery útočníka.

Třetí bod je v případě Gransy klíčový, protože jeho databáze může obsahovat informace k převedení domény pod jiného registrátora. I když by nedošlo k ukradení domény jako takové, získat ji zpět může trvat dlouho a během této doby nemusí být funkční nebo na ní může být úplně jiný obsah.

Chtěli bychom vás tedy upozornit na tuto možnost a doporučit vám převedení vašich domén ze SubRegu pod jiného registrátora.

Ještě zjišťujeme další informace a pokud by naše podezření bylo potvrzeno ještě jiným zdrojem, rozešleme našim zákazníkům informační email.

Aktualizace 16.9.

Během přesunu našich domén ze SubRegu jsme zjistili, že SubReg velmi pravděpodobně do databáze ukládá Auth-ID, které se používá pro přesun domény pod jiného registrátora. Pouze se znalostí tohoto ID je možné změnit libovolně NS servery domény a tedy i její DNS záznamy. To pak je možné zneužít k unesení účtů všech služeb, které vám na email pošlou odkaz na resetování hesla.

Kontaktovali jsme CZ.NIC, kde nám potvrdili, že to je opravdu možné a ve spolupráci s Gransy budou znovu generovat Auth-ID všech postižených domén.

Za nás jen dodám, že tohle je jeden možný příklad zneužití, který jsme dali dohromady pouze z veřejně dostupných informací. Útočník má mnohem lepší přehled o tom co je možné a co ne. Vhledem k tomu, že měl přístup do systému, mohl klidně volat API CZ.NICu, což otevírá dveře dalším možnostem. Neznamená to, že k unesení vašich domén nebo k jinému způsobu zneužití dojde, ale chceme jen upozornit na možná rizika. Naše domény jsme přestěhovali k jinému registrátorovi a vám doporučujeme to samé.

Zkusíme v nějakém rozumném čase zjistit domény, které míří na náš load balancer a jsou přes SubReg registrovány. Majitelům pak pošleme email s informacemi z tohoto blogpostu.