Subdomain Takeover: Terk Edilmiş Alt Alan Adını Ele Geçirme Açığı
Bir alt alan adını (blog.sirketiniz.com gibi) bir bulut servisine yönlendirip sonra o servisi kapattığınızda, DNS kaydı boşta kalır. Bir saldırgan o servisi kendi adına alarak alt alan adınızı ele geçirebilir. Bu açık, sizin alan adınızda oltalama, çerez çalma ve marka istismarı için kullanılır. Subdomain takeover'ın nasıl oluştuğunu, etkilerini ve nasıl önleneceğini kaynaklı anlattık.
Subdomain Takeover: Terk Edilmiş Alt Alan Adını Ele Geçirme Açığı
Hızlı Cevap: Subdomain takeover (alt alan adı ele geçirme), bir şirketin bir alt alan adını (örneğin blog.sirketiniz.com) bir dış servise yönlendiren DNS kaydının boşta kalması ve bir saldırganın o servisi kendi adına alarak alt alan adının kontrolünü ele geçirmesidir. Bu tipik olarak şöyle olur, bir alt alan adı bir bulut servisine, barındırma sağlayıcısına ya da pazarlama aracına yönlendirilir, sonra o servisteki hesap kapatılır ama DNS kaydı silinmeyi unutulur. Artık boşta kalan bu kayıt, aynı servis adını alan herkese açıktır. Bir saldırgan o adı alıp içeriği kendi kontrolüne geçirir, ve artık blog.sirketiniz.com üzerinde istediğini yayınlar. Etkileri ağırdır, sizin alan adınızda oltalama, ziyaretçi çerezlerini çalma ve marka istismarı. Önlemenin yolu, boşta kalan DNS kayıtlarını düzenli denetlemek ve bir servisi kapatmadan önce ona ait DNS kaydını silmektir.
Bir web sitesi düşünüldüğünde genelde ana alan adı korunur, ama alt alan adları çoğu zaman unutulur. Oysa bir şirketin onlarca alt alan adı olabilir, blog, destek, test, kampanya, her biri farklı bir servise yönlendirilmiş. Bu alt alan adları, dış saldırı yüzeyinin en çok gözden kaçan parçasıdır. Alt alan adı ele geçirme, teknik ama sık görülen ve tehlikeli bir açıktır.
Açık nasıl oluşur
Subdomain takeover, bir DNS kaydının bir servise işaret etmesi ama o servisin artık size ait olmamasıyla ortaya çıkar. Tipik senaryo şudur.
Bir şirket, blog.sirketiniz.com alt alan adını bir bulut barındırma ya da pazarlama servisine yönlendirir. Bunu bir DNS kaydıyla (genellikle bir CNAME kaydı) yapar, yani blog.sirketiniz.com adresi o servisin adresine işaret eder. Zamanla o servis artık kullanılmaz ve şirket oradaki hesabını kapatır. Ama DNS kaydını silmeyi unutur. Şimdi blog.sirketiniz.com hâlâ o servise işaret ediyor, ama o serviste artık şirkete ait bir içerik yok, boşta bir adres var.
İşte bu boşta kalan kayıt açıktır. Çoğu bulut servisinde, o adı ilk alan kişi içeriği kontrol eder. Bir saldırgan, aynı servise gidip şirketin bıraktığı adı kendi hesabına alır. Artık blog.sirketiniz.com, saldırganın koyduğu içeriği gösterir, çünkü DNS hâlâ oraya işaret etmektedir.
Neden tehlikeli, etkileri
Ele geçirilen bir alt alan adı, saldırgana sizin markanızın güvenilirliğini verir, çünkü adres gerçekten sizin alan adınızdır.
- Güvenilir görünen oltalama. Saldırgan, blog.sirketiniz.com üzerinde sahte bir giriş sayfası yayınlar. Ziyaretçi gerçek alan adınızı gördüğü için güvenir ve bilgilerini girer.
- Çerez ve oturum çalma. Ana alan adınızla alt alan adları arasında paylaşılan çerezler varsa, ele geçirilen alt alan adı bu çerezleri çalabilir ve kullanıcı oturumlarını tehlikeye atabilir.
- Marka istismarı ve zararlı içerik. Saldırgan, sizin adınıza istenmeyen, zararlı ya da itibar zedeleyici içerik yayınlayabilir.
- Diğer saldırılara sıçrama. Ele geçirilen alt alan adı, güvenilir bir kaynak olarak başka saldırılarda kullanılabilir.
Bu açık, web uygulaması güvenliğinin bir parçasıdır, genel web güvenlik denetimini web sitesi güvenlik hizmeti ve sızma testi ve web uygulaması sızma testi, OWASP Top 10 yazılarımızda ele aldık.
Nasıl tespit edilir
Bir şirketin subdomain takeover'a açık olup olmadığı, dış saldırı yüzeyi denetimiyle anlaşılır. Bir güvenlik ekibi, alan adının tüm alt alan adlarını listeler (alt alan adı keşfi), her birinin hangi servise işaret ettiğini kontrol eder ve o servisin gerçekten sizin kontrolünüzde olup olmadığını doğrular. Bir alt alan adı, artık size ait olmayan bir servise işaret ediyorsa, bu bir subdomain takeover riskidir. Bu denetim, bir dış pentest ya da saldırı yüzeyi yönetiminin standart parçasıdır, konuyu pentest süreci, fiyat ve ne zaman gerekli yazımızda da anlattık.
| Adım | Ne yapılır |
|---|---|
| Alt alan adı keşfi | Alan adının tüm alt alan adları listelenir |
| Kayıt analizi | Her kaydın hangi servise işaret ettiği bulunur |
| Sahiplik doğrulama | O servisin gerçekten sizde olup olmadığı kontrol edilir |
| Boşta kayıt tespiti | Servise ait olmayan, boşta kalan kayıtlar işaretlenir |
| Temizlik | Boşta kayıtlar silinir ya da yeniden sahiplenilir |
Nasıl önlenir
Önlem basittir ama disiplin gerektirir. Birincisi, bir dış servisi kapatırken, ona işaret eden DNS kaydını da silin. Servisi kapatmak yeterli değildir, boşta kalan kayıt açıktır. İkincisi, DNS kayıtlarınızı düzenli olarak denetleyin, artık kullanılmayan alt alan adlarını temizleyin. Üçüncüsü, alt alan adlarınızı ve saldırı yüzeyinizi sürekli izleyin, yeni bir boşta kayıt oluştuğunda hemen fark edin. Büyük kuruluşlarda bu, saldırı yüzeyi yönetimi adı verilen sürekli bir sürecin parçasıdır.
Sıkça Sorulan Sorular
Subdomain takeover sadece büyük şirketleri mi etkiler? Hayır. Her şirket, zamanla açtığı ve unuttuğu alt alan adları biriktirir. Aksine, alt alan adlarını takip etmeyen küçük ekipler daha risklidir.
Ana alan adım güvenli, alt alan adım ele geçse ne olur? Alt alan adı da sizin markanızdır. Ele geçirilirse, saldırgan sizin adınıza oltalama yapar, çerez çalabilir ve itibarınıza zarar verir. Ziyaretçiler gerçek alan adınızı gördüğü için güvenir.
Nasıl anlarım açık mıyım? Tüm alt alan adlarınızı listeleyip her birinin hangi servise işaret ettiğini ve o servisin sizde olup olmadığını kontrol etmek gerekir. Bu bir dış saldırı yüzeyi denetimidir.
Bir alt alan adı ele geçtiyse ne yapmalıyım? Boşta kaydı hemen silin ya da servisi yeniden sahiplenerek kaydı düzeltin, ardından o alt alan adı üzerinden bir saldırı yapılıp yapılmadığını inceleyin.
Kaynaklar
- OWASP, Test for Subdomain Takeover (Web Security Testing Guide): https://owasp.org/www-project-web-security-testing-guide/
- MITRE ATT&CK, Domains ve altyapı ele geçirme teknikleri: https://attack.mitre.org/
- NIST SP 800-115, Bilgi Güvenliği Testi ve Değerlendirmesi: https://csrc.nist.gov/pubs/sp/800/115/final
- CISA, saldırı yüzeyi ve varlık yönetimi rehberleri: https://www.cisa.gov/
Alt alan adlarınızı ve dış saldırı yüzeyinizi subdomain takeover'a karşı denetlemek için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.