DNS/AXFR: Nameserver verraten Geheim-URLs

Ein wenig bekanntes Feature des DNS-Protokolls kann für unerwartete Probleme sorgen. Das sogenannte AXFR-Protokoll ist dafür gedacht, dass DNS-Server untereinander Zonen austauschen können. Gedacht ist AXFR eigentlich dafür, dass ein Serverbetreiber seine DNS-Server untereinander synchronisieren kann. Doch erstaunlich viele DNS-Server beantworten AXFR-Anfragen auch ganz öffentlich, ohne Authentifizierung und unabhängig von der Absender-IP-Adresse.

Informationen über alle Subdomains

Falls ein AXFR-Transfer möglich ist, kann man sich üblicherweise sämtliche Informationen, die ein DNS-Server über eine Domain und ihre Subdomains vorrätig hat, ausliefern lassen. Das für sich stellt nicht in jedem Fall eine Sicherheitslücke dar. Ein Problem kann allerdings auftreten, wenn Serverbetreiber davon ausgehen, dass bestimmte Subdomains geheim sind.

Die Betreiber der Webseite Internetwache.org haben sich die AXFR-Daten genauer angesehen und sie ausgewertet. Sie haben dafür die laut dem Statistikdienst Alexa eine Million beliebtesten Webseiten geprüft. Dabei ließen sich die Zoneninformationen zu über 70.000 Domains aufrufen. Etwa sieben Prozent der großen Webseiten legen also ihre Zonen über AXFR offen. In wie vielen Fällen das Absicht ist und wie viele davon lediglich ihre DNS-Server unbeabsichtigt falsch konfiguriert haben, lässt sich natürlich nicht feststellen.

Problem wurde bereits in den 90ern diskutiert

"Es ist interessant und gewissermaßen erstaunlich, dass sich bis heute so viele fehlerhaft konfigurierte Server finden lassen", kommentieren die Betreiber von Internetwache.org ihre Funde. "Da das Thema in den 1990er Jahren umfassend in der Fachwelt diskutiert wurde, sind wir eigentlich davon ausgegangen, auf kaum verwundbare Server zu stoßen." Eine ausführliche Erläuterung der Funktionsweise von AXFR und der Probleme findet sich auf der Webseite des Kryptographen Dan Bernstein.

Wir konnten die Auswertung von Internetwache.org nachvollziehen und haben selbst einen derartigen Scan durchgeführt. Ein Blick auf die Ergebnisse zeigt schnell, welche realen Probleme sich daraus ergeben können. Die beliebteste deutsche Webseite, die einen AXFR-Transfer zuließ, ist Zeit Online. Auf einer Subdomain befand sich ein Logging-Interface des Webservers - Daten, die nicht für die Öffentlichkeit bestimmt waren. Nachdem wir die Betreiber von zeit.de auf das Problem aufmerksam gemacht hatten, wurde die entsprechende Logging-Webseite umgehend gesperrt und der AXFR-Transfer abgeschaltet.

Auf einer Subdomain der Piratenpartei fanden wir ein Directory-Listing, in dem sich verschiedene, teilweise nicht installierte Webanwendungen befanden. Für die Öffentlichkeit war das vermutlich auch nicht gedacht. Wir haben dies der Geschäftsstelle der Piratenpartei mitgeteilt, eine Antwort haben wir nicht erhalten.

Ein Blick auf die weiteren Ergebnisse offenbart offene AXFR-Transfers bei der Torrent-Webseite Kickass, beim US-Mobilfunkanbieter Verizon Wireless und bei den japanischen Webseiten goo.ne.jp und livedoor.com. In Deutschland antworten unter anderem die DNS-Server der Stadt Berlin, der Webseiten Quoka.de und Filmstarts.de, von RTL2, vom Bayerischen Rundfunk und vom MDR auf AXFR-Anfragen. In Einzelfällen kann dies Absicht sein, es ist aber zu vermuten, dass es sich in den allermeisten Fällen um versehentliche Fehlkonfigurationen handelt.

Geheim-URLs keine gute Idee

Generell ist es keine gute Idee, sensible Informationen hinter scheinbar geheimen Subdomains zu verstecken. Alleine durch Erraten kann ein Angreifer diese erfahren, und da DNS-Anfragen generell unverschlüsselt sind, können diese auch auf anderem Wege öffentlich werden. Grundsätzlich sollten Webseiten mit internen Informationen nur passwortgeschützt und HTTPS-verschlüsselt erreichbar sein.

Nachtrag vom 2. April 2015, 12:07 Uhr

Die Piratenpartei hat uns inzwischen kontaktiert und mitgeteilt, dass der entsprechende Server mit Directory-Listing sowie die AXFR-Antworten deaktiviert wurden.