La adquisición de un subdominio ocurre cuando un atacante gana el control de un subdominio mal configurado o no utilizado de una organización. Este control puede lograrse, por ejemplo, cuando los registros DNS, especialmente los registros CNAME, apuntan a un subdominio. Si dicho subdominio expira o un atacante crea un nuevo entorno antes de que la organización pueda actuar, el subdominio se vuelve vulnerable. Este tipo de fallo se denomina «DNS colgante».
Las organizaciones a menudo cuentan con subdominios para diferentes funciones, como soporte al cliente o recursos humanos, que pueden estar ligados a servicios SaaS. Por ejemplo, si una empresa deja de usar un proveedor de SaaS y no actualiza los registros CNAME, un atacante podría registrar este subdominio y obtener acceso. Esto se puede agravar si el antiguo subdominio todavía está redirigiendo tráfico, lo que amplía el alcance del ataque.
Un caso adicional son los registros DNS que apuntan a recursos en la nube que no están activos. Si, por ejemplo, se elimina un cubo de almacenamiento en la nube sin actualizar los registros DNS, esto abre la puerta a que un atacante registre un cubo con el mismo subdominio y suba contenido malicioso. El aprovechamiento de un subdominio puede permitir a los atacantes desfigurar sitios web legítimos o llevar a cabo campañas de phishing.
Las amenazas a la cadena de suministro que surgen de las adquisiciones de subdominio son particularmente preocupantes. Si un subdominio está todavía asignado a un servicio en la nube que ya no existe, un atacante podría explotar esta vulnerabilidad. Investigaciones recientes han demostrado que muchos cubos de almacenamiento eliminados en la nube han sido referenciados en solicitudes de acceso, lo que demuestra un grave peligro. En un análisis de seguridad, investigadores encontraron cientos de cubos AWS S3 eliminados que habían recibido millones de solicitudes, mostrando el potencial de riesgo en la exposición de datos y vulnerabilidades.
El posible daño de un ataque de adquisición de subdominio puede incluir la pérdida de reputación de una empresa y el robo de información crítica. Las amenazas que se presentan son graves, ya que pueden incluir desde desfigurar un sitio hasta robar credenciales. Los ataques pueden ser aún más preocupantes si un recurso tomado por un atacante se utiliza para explotar sistemas de clientes, generando un riesgo en cascada.
SentinelOne aboga por implementar medidas de seguridad en todo el ciclo de vida del desarrollo de software, resaltando que la seguridad no debería limitarse solo al tiempo de compilación, sino que debe extenderse al runtime para proteger entornos en tiempo real. Su plataforma busca identificar riesgos antes de que sean aprovechados, ayudando a las organizaciones a priorizar sus esfuerzos de seguridad, particularmente en lo que respecta a la adquisición de subdominios.
En resumen, la seguridad debe ser una prioridad continua para todas las organizaciones, particularmente con amenazas como la adquisición de subdominios, que si bien pueden parecer menores, tienen el potencial de desencadenar severos riesgos en la cadena de suministro. La vigilancia proactiva y la disposición para ajustar las configuraciones de DNS adecuadamente son cruciales para mitigar estos riesgos.
Enlace de la fuente, haz clic para tener más información