Introducción
¿sabias que es posible que algunos subdominios sean adquiridos por otras personas? esto se debe al hecho que para algunos de sus registros DNS (principalmente CNAME) habilito la delegacion de zona.
Una adquisición de subdominio se considera una amenaza de gravedad alta y se reduce al registro de un dominio por otra persona (con malas intenciones) con el fin de obtener el control sobre un o mas subdominios. Esto presenta un vector de ataque interesante, que incluso puede conducir a varios riesgos de alta gravedad.
Escenario
Imagine que trabaja para una empresa global que tiene como dominio principal ficticio.com. Ahora debido a que estamos en el siglo 21 es muy común tener tiendas de comercio electrónico en linea, ademas de tu comercio en tu tienda local. Hay muchos proveedores de comercios electrónicos en la nube muy populares como son: Shopify, Magento, etc, por lo que puedes configurar tu tienda en una de estas opciones disponibles.
Después de haber realizado lo que es la instalación, configuración, el proveedor de la tienda en linea te configura un subdominio de la siguiente manera ficticio.shopify.com para tu tienda. Esto no parece muy atractivo ni profesional para compartir con tus clientes, por lo que usted desea que este su marca ejemplo: shop.ficticio.com
Para lograr esto usted tendra dos opciones de configuracion:
1.- un HTTP de redireccion 301/302 se encargara de redirigir a los visitantes a shop.ficticio.com, aunque este enfoque es menos atractivo.
2.- configuracion de un registro DNS CNAME que delegara la resolucion DNS directamente al proveedor de comercio electronico (shopify en este caso), pero no todos los proveedores de la nube admiten la delegacion de DNS usando CNAME.
como el enfoque CNAME es mas robusto elegiremos esta opción.
un año mas tarde, las actividades del comercio electrónico de su empresa son un desastre total. Por varias razones, los objetivos de ingresos no fueron alcanzados. La administración operativa le indica que desconecte la tienda de comercio electrónico hasta que se redefina la estrategia. Para ahorrar dinero se cancela la suscripción de comercio electrónico de terceros (shopify). Ahora, es el momento en el que se presenta el riesgo de una posible adquisición de subdominio: ya que puede olvidarsele fácilmente actualizar o eliminar el registro CNAME en su archivo de zona DNS.
En pocas palabras, cuando no elimina el registro CNAME de su zona de archivo DNS, cualquiera pudiera registrar una nueva tienda de comercio electronico en el mismo entorno (shopify) y por lo tanto adquirir ficticio.shopify.com el cual todavia se encuentra en el DNS del servidor ficticio.com.
Este escenario puede parecer nuevo o desconocido para alguno de ustedes, pero de hecho, una adquisicion de dominio es una amenaza emergente.
La adquisición de dominio puede encontrarse en diferentes servidores importantes como son bancos, instituciones gubernamentales y muchos otros.
Proveedores en la nube
Por supuesto, esta vulnerabilidad no se limita solo a plataformas de comercio electrónico como shopify o magento, sino a una gran industria de proveedores en la nube. Muchos registros CNAME apuntan a grandes proveedores en la nube como son Amazon AWS o Microsoft Azure. En estos ejemplos, y cuando se alcanzan ciertas condiciones, se puede lograr una adquisición de subdominio con bastante facilidad.
El riesgo
Por lo general, las organizaciones no auditan la configuración DNS regularmente. Muchas veces, no hay un proceso estandarizado para agregar, cambiar o eliminar entradas de su archivo de zona DNS.
Las consecuencias de una adquisición de dominios puede ser bastante malas. Es una forma perfecta para que los atacantes inicien alguna campaña de phishing aprovechando su reputación de marca ya establecida.
Los atacantes tambien pueden desencadenar ataques con mayor impacto, muchas aplicaciones exponen las cookies de sesión a un dominio (*.ficticio.com), por lo que cualquier subdominio puede acceder a ellas.
Prevención
La prevención de la adquisición de subdominio inicia con el monitoreo y análisis adecuados de los registros DNS. Un paso importante es encontrar subdominios y verificar que el CNAME ya no exista en nuestro servidor.
Herramientas disponibles
https://www.namecheap.com/
https://github.com/antichown/subdomain-takeover
No hay comentarios:
Publicar un comentario