image

SIDN waarschuwt voor foutief geconfigureerde localhost-records

dinsdag 9 november 2021, 11:03 door Redactie, 6 reacties

Van de 6,2 miljoen domeinnamen in de .nl-zone bevatten maar liefst 1,3 miljoen namen nog een A-record voor het localhost-label en dat kan veiligheidsproblemen opleveren, zo waarschuwt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

Het gaat dan om het A-record "localhost" dat naar 127.0.0.1 wijst. Bijvoorbeeld localhost.example.nl. De aanbeveling om een A-record voor localhost op te nemen gaat terug naar RFC 1537 van oktober 1993. RFC 1537 werd in 1996 overbodig verklaard en opgevolgd door RFC 1912. Daarin staat dat localhost (alleen) als een speciale hostname geconfigureerd moet worden. Bovendien staat er een punt achter de hostname, dus "localhost." in plaats van alleen "localhost" zonder punt.

In veel gevallen ontbreekt deze punt en dat kan een beveiligingsprobleem opleveren, zo stelt SIDN vandaag. Een verkeerd geconfigureerd localhost-record kan worden gebruikt voor een cross-site scripting (XSS)-aanval waarbij een aanvaller http-cookies van andere gebruikers op hetzelfde systeem waarop de website draait kan afluisteren.

"Dat doet een gebruiker door een 'hoge' TCP-poort te openen en andere gebruikers op het systeem om te leiden naar een adres als 'http://localhost.example.nl:49152/'. Omdat de adressen www.example.nl en localhost.example.nl hetzelfde basisdomein hebben, krijgt de kwaadwillende gebruiker bij het openen van de verbinding naar localhost.example.nl (127.0.0.1) ook de cookies voor www.example.nl toegestuurd", aldus SIDN.

Om dergelijke situaties te voorkomen roept de stichting houders en beheerders op om hun domeinnamen te controleren op de aanwezigheid van localhost-labels en deze daar volledig te verwijderen.

Reacties (6)
09-11-2021, 11:39 door Anoniem
Dit is alleen te misbruiken dus als je op het systeem zelf al iets hebt draaien?

Lijkt me dan makkelijker de browser direct uit te lezen?
09-11-2021, 12:04 door Anoniem
Xss die werkt op http? Lokaal? Ja, allemaal onhandig maar ik zou eerst kijken of je domeinnaam(en) nog allemaal op jouw naam staan.
09-11-2021, 12:40 door Anoniem
Door Anoniem: Dit is alleen te misbruiken dus als je op het systeem zelf al iets hebt draaien?

Lijkt me dan makkelijker de browser direct uit te lezen?

Er zijn steeds meer applicaties met webservices op localhost
09-11-2021, 13:12 door Anoniem
Ik heb ooit wel eens een test gedaan bij zo'n dienst als internet.nl (was niet die maar een andere geloof ik) en daar werd het ontbreken van een localhost.example.com nog als rood kruisje getoond. En dat was zeker niet in 1996.
Zo zie je het nadeel van dat soort "checklists" met "best practices": voor je het weet zit je met miljoenen gevallen van een ongewenste situatie.
09-11-2021, 14:20 door Anoniem
Door Anoniem: Ik heb ooit wel eens een test gedaan bij zo'n dienst als internet.nl (was niet die maar een andere geloof ik) en daar werd het ontbreken van een localhost.example.com nog als rood kruisje getoond. En dat was zeker niet in 1996.
Zo zie je het nadeel van dat soort "checklists" met "best practices": voor je het weet zit je met miljoenen gevallen van een ongewenste situatie.
Kan je nog een leuke vertellen M365 of Office365 zoals het werdt genoemd waarbij SPF op Softfail langere tijd werdt geadviseerd en we tig keer geklaag hoorde van M365 beheerders die melde dat er een fout was met de DNS omdat we hard fail gebruikte.

Je kunt raden wat er gebeurde met de spamvolume nadat deze experts op hun strepen gingen staan.
Checklists zijn geweldig zolang je ze maar inricht voor jouw organisatie en test.
10-11-2021, 06:07 door Anoniem
Scan erop: https://vuls.io/docs/en/tutorial-local-scan.html

Te losse configuratie - Confirmed
Collapse panel
COOKIE NAME
sessionid
URL
?????
EVIDENCE
Set-Cookie: web-address
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.