Kako DNS i TLS pogrešne konfiguracije potkopavaju vaš perimetar bezbednosti

München, Nemačka – 19. septembar 2025.

Kako diskretne propuste u konfiguraciji otvaraju vrata za prelom perimetra

DNS i TLS su temeljne komponente infrastrukture okrenute internetu. Često se smatraju „postavi-i-zaboravi“ sistemima, ali Rasotec-ovi spoljašnji pentesti često otkrivaju pogrešne konfiguracije koje tiho podrivaju perimetar bezbednosti. Ovi problemi retko okidaju alarme, ali izlažu organizacije hakiranju domena, napadima čovek-u-sredini i kompromitovanju podataka.

DNS pogrešne konfiguracije su posebno česte. Rasotec često identifikuje viseće DNS zapise koji pokazuju na ukonjene cloud resurse, omogućavajući napadačima da ih preuzmu i serviraju zlonameran sadržaj pod pouzdanim subdomenima. Nedostajući DNSSEC potpisi omogućavaju spoofing i trovanje keša, dok permisivne zone transfere izlažu mapiranje unutrašnje infrastrukture svakom ko zatraži.

Pogrešno konfigurisani MX zapisi su još jedan prežaostavljen rizik. Slabe ili nekonzistentne SPF, DKIM i DMARC politike omogućavaju napadačima da lažiraju e-poštu sa domena organizacije. To podriva poverenje i stvara idealnu ulaznu tačku za fišing, koji i dalje predstavlja jedan od najefikasnijih početnih vektora u realnim napadima.

TLS pogrešne konfiguracije su podjednako raširene. Rasotech često nailazi na istekle ili nepodudarne sertifikate, slabe šifre i nedostajuće HTTP Strict Transport Security (HSTS) zaglavlje. Ovi problemi mogu omogućiti downgrade napade, preuzimanje sesija ili presretanje navodno bezbednog saobraćaja, posebno na deljenoj ili load-balanced infrastrukturi.

Perimetarske odbrane znače malo ako su vaši uglovi poverenja slomljeni. DNS i TLS pogrešne konfiguracije tiho podrivaju bezbednost spolja prema unutra, izjavio je Rick Grassmann, izvršni direktor u Rasotec.

Čak i organizacije sa jakom unutrašnjom bezbednošću često previde raširenje TLS sertifikata. Stare testne sredine, zaboravljeni subdomeni i integracije trećih strana mogu koristiti zastarele sertifikate ili self-signed korene. Napadači iskorištavaju ove slabije karike da zaobiđu lance poverenja ili lažiraju unutrašnje sisteme spolja.

Ovi proccepi u konfiguraciji retko su vidljivi u automatizovanim skeniranjima ranjivosti. Zahtevaju holistički pregled spoljašnjeg otkriva organizacije, uključujući analizu DNS inventara, reviziju životnog ciklusa sertifikata i ručnu verifikaciju politika ivice bezbednosti. Rasotec-ovi spoljašnji pentesi naglašavaju ovo mapiranje perimetra kao kritičan prvi korak.

Napadači ciljaju put najmanjeg otpora. Ako su DNS i TLS kontrole slabe, oni potpuno zaobilaze složenije odbrane. Ojačani krajnji uređaji i zakrpljeni serveri nude malu zaštitu ako napadači mogu presretati saobraćaj ili lažirati pouzdane domene na perimetru.

Rasotec-ovi pentesi simuliraju ove napadačke tehnike da bi otkrili pogrešne konfiguracije pre nego što budu iskorišćene. Bezbeđenje DNS i TLS temelja zatvara tiho, ali kritično otvorene procepe u spoljašnjoj bezbednosnoj pozi organizacija.

O Rasotec: Rasotec je jedan od najbližih partnera CypSec i butik bezbednosna firma specijalizovana za ručno pentestiranje složenih veb, mobilnih i infrastrukturnih okruženja. Njegov tim se fokusira na otkrivanje propusta logike, ulančanih napadnih puteva i visoko-uticajnih ranjivosti koje automatizovani alati previde. Za više informacija posetite rasotec.com.

Kontakt za medije: Rick Grassmann, izvršni direktor u Rasotec - rick.grassmann@rasotec.com.