Por Abhinav Singh, investigador de seguridad en Normalyze


Las adquisiciones de subdominios siguen siendo una importante amenaza de seguridad para las organizaciones que utilizan la nube para prestar servicios públicos.

La infraestructura en la nube permite a las organizaciones implementar entornos rápidamente y derribarlos a pedido.

Los sistemas de nombres de dominio (DNS) de la infraestructura de la nube se actualizan continuamente para apuntar a recursos recientemente implementados. Desafortunadamente, las organizaciones a menudo no eliminan los punteros antiguos en el DNS porque se crearon manualmente o porque el trabajo de limpieza no tuvo en cuenta los cambios de DNS. Esto conduce a un registro de dominio colgante, también conocido como dominio huérfano, que ya no está asociado con un sitio web activo o un recurso en línea.

Los dominios colgantes pueden ser un riesgo para la seguridad porque pueden ser vulnerables a la adquisición de subdominios u otros tipos de ataques.

Los subdominios antiguos son un riesgo

En este escenario, un atacante puede tomar el control de un subdominio (por ejemplo, "blog.mycompany.com") que se configuró para apuntar a un servicio en la nube que ya no está en uso o que se ha configurado incorrectamente. Esta vulnerabilidad permite que el atacante aloje contenido malicioso en el subdominio y probablemente comprometa la seguridad del dominio principal (por ejemplo, "miempresa.com"). La organización afectada puede verse expuesta de múltiples formas.

La adquisición de subdominios se puede utilizar para robar datos confidenciales mediante el secuestro del tráfico dirigido hacia ellos, si todavía ofrece el contenido esperado. Esto puede comprometer datos confidenciales como números de tarjetas de crédito, contraseñas e información personal (PII). Esto, a su vez, puede provocar daños financieros y de reputación para la organización, lo que lleva a la adopción de medidas reglamentarias.

Por ejemplo, un dominio colgante en AWS podría hacer referencia a un dominio que se asoció anteriormente con un depósito de Amazon S3, una distribución de CloudFront o en ElasticBeanstalk, pero que ya no se usa o está mal configurado o no coincide. Puede existir un caso similar en Azure Storage, Azure DNS, Google Storage y Google Cloud DNS.

Para evitar la adquisición de subdominios, las organizaciones deben administrar cuidadosamente la configuración de sus subdominios y asegurarse de que no apunten a servicios en la nube que ya no están en uso. Esto generalmente se logra mediante el uso de registros DNS, que especifican las direcciones IP a las que deben apuntar los subdominios. Las organizaciones pueden ayudar a prevenir la adquisición de subdominios y proteger la seguridad de sus dominios administrando cuidadosamente estos registros y revisándolos regularmente para asegurarse de que estén actualizados.

Otro enfoque para reducir la adquisición de subdominios es revertir el proceso de limpieza cuando ocurre el desmantelamiento o la limpieza de la infraestructura. El orden habitual de limpieza o eliminación debe comenzar desde el servicio DNS como Route53, Azure DNS o Google Cloud DNS, seguido de la entrada de CDN y finalmente la eliminación del recurso. Este es exactamente el orden inverso en el que se crean los servicios en primer lugar.

Las herramientas pueden ayudar

Las organizaciones pueden usar herramientas y servicios de seguridad que pueden monitorear las adquisiciones de subdominios y notificarles si se detecta un ataque para proteger sus subdominios además de administrar los registros DNS. Estas herramientas pueden ayudar a las empresas a tomar medidas rápidas para contrarrestar amenazas potenciales y detener la adquisición de subdominios.

Al final, ser proactivo y revisar y actualizar regularmente la configuración de sus subdominios para asegurarse de que sean seguros y no apunten a servicios en la nube que ya no están en uso ayudará a evitar la adquisición de subdominios. Al tomar estas medidas, puede ayudar a defender los activos de su empresa contra adquisiciones de subdominios y otros tipos de ataques cibernéticos que surjan de ellos.

El siguiente video explica las adquisiciones de subdominios