أمان النطاقات الفرعية للفنادق: التهديدات الخفية وطرق الحماية

دفعتنا حادثة وقعت لأحد عملائنا إلى التحقيق في هذا الموضوع بعمق. كان مدير تكنولوجيا المعلومات في فندق بوتيكي في اسطنبول يعتقد أنهم آمنون تمامًا بعد وضع موقعهم الرئيسي خلف Cloudflare. ومع ذلك، بعد بضعة أسابيع، أصبح موقع حجز مزيف نشطًا باستخدام عنوان IP الحقيقي لخادم الفندق. كيف حدث هذا؟

كان الجواب بسيطًا: كان النطاق الفرعي "mail.oteladi.com" يشير مباشرة إلى خادم بريد إلكتروني قديم لم يتم تكوينه مع Cloudflare. وكان عنوان IP هذا متاحًا للجميع.

النطاق الفرعي (subdomain) هو بادئة تضاف إلى مقدمة النطاق الرئيسي. "www.oteladi.com" هو نطاق فرعي؛ وكذلك "rezervasyon.oteladi.com". تنشئ الفنادق عادةً العشرات من النطاقات الفرعية على مر السنين: موقع حملة لموسم ما، ومحرك حجز قديم، وبيئة اختبار، وبنية تحتية للبريد الإلكتروني للشركات، والمزيد.

يتم نسيان بعض هذه النطاقات الفرعية بمرور الوقت. لا يتم حذف سجلات DNS الخاصة بها، وتستمر في الإشارة إلى الخوادم القديمة. ويمكن أن تكون هذه العناوين المنسية منجم ذهب للمحتالين.

تضيف خدمات CDN (شبكة توصيل المحتوى) مثل Cloudflare طبقة حماية أمام مواقع الويب. وبهذه الطريقة، يتم إخفاء عنوان IP الحقيقي للخادم. ومع ذلك، فإن هذه الحماية صالحة فقط للسجلات التي تم تكوينها من خلال Cloudflare.

يجب أن يشير نطاق فرعي مثل "mail.oteladi.com" مباشرة إلى عنوان IP الخادم لحركة مرور SMTP (البريد الإلكتروني). لا يمكن توجيه بروتوكول البريد الإلكتروني عبر وكيل Cloudflare. هذا يعني أنه يمكن لأي شخص العثور بسهولة على عنوان IP الحقيقي عن طريق البحث في النطاق الفرعي "mail" باستخدام استعلام DNS بسيط.

في أبحاثنا، وجدنا سجلات نطاقات فرعية مفتوحة من هذا النوع في أكثر من خمسة وسبعين بالمائة من الفنادق التركية التي قمنا بفحصها. كان بعضها عناوين بنية تحتية قديمة لم يتم استخدامها لسنوات؛ لكنها كانت لا تزال قابلة للوصول. لمزيد من المعلومات حول العلاقة بين شهادات SSL والنطاقات الفرعية، يمكنك قراءة منشورنا sahte-ssl-sertifika-tespiti-rehberi.

يشير مصطلح "Dangling DNS" (DNS المعلق) إلى موقف لا يزال فيه سجل DNS موجودًا ولكن الخادم أو الخدمة التي يشير إليها لم تعد نشطة. يشكل هذا الموقف تهديدًا شائعًا في قطاع الفنادق، ولكنه غالبًا ما لا يتم اكتشافه.

قبل سنوات، أبرم فندق اتفاقية مع محرك حجز تابع لجهة خارجية. تم إنشاء النطاق الفرعي "rezervasyon.oteladi.com" لهذا المحرك وتم توجيهه إلى خادم تلك الشركة. في السنوات اللاحقة، تم تغيير المحرك، وتم فتح نطاق فرعي جديد للمزود الجديد؛ لكن سجل DNS القديم ظل في مكانه دون أن يفكر فيه أحد.

في هذه المرحلة، يمكن أن تظهر ثلاثة سيناريوهات. في السيناريو الأول، أغلقت الشركة الخارجية وتم تعيين عنوان IP هذا لعميل آخر. يمكن لمالك IP الجديد توجيه حركة المرور القادمة إلى "rezervasyon.oteladi.com" إلى خادمه الخاص. في السيناريو الثاني، أنهى المزود الخدمة ولكن سجل اسم النطاق لا يزال يشير إليهم. في السيناريو الثالث، يمكن للمهاجم شراء عنوان IP هذا وإنشاء موقع تصيد احتيالي باستخدام سمعة الفندق من خلال النطاق الفرعي.

قامت بعض الفنادق باستضافة مواد ترويجية أو محتوى مدونة قديم على خدمات التخزين السحابي مثل AWS S3 أو Azure Blob أو Google Cloud Storage. تم تكوين نطاقات فرعية مثل "cdn.oteladi.com" أو "media.oteladi.com" لهذه الخدمات، ولكن تم حذف حاوية التخزين عند انتهاء العقد.

إذا لم يتم حذف سجل DNS عند حذف الحاوية، فيمكن لأي شخص يمكنه إنشاء حاوية جديدة بنفس اسم الحاوية المحذوفة الاستيلاء على هذا النطاق الفرعي. يطلق على هذا "الاستيلاء على النطاق الفرعي" (subdomain takeover) وهو موقف نواجهه أحيانًا في مواقع الفنادق التركية التي قمنا بالتحقيق فيها.

قد تصبح النطاقات الفرعية التي تم إنشاؤها أثناء التكامل مع خدمات SaaS مثل برامج إدارة الحجوزات أو مدير القنوات أو برامج ولاء العملاء مهجورة عند انتهاء عقد الخدمة. يمكن أن تظل عناوين مثل "loyalty.oteladi.com" أو "crm.oteladi.com" في سجلات DNS لأشهر أو حتى سنوات.

تشير النطاقات الفرعية مثل "mail." و "smtp." و "imap." و "webmail." إلى البنية التحتية للبريد الإلكتروني. هذه دائمًا ما تترك عنوان IP الحقيقي مكشوفًا. يؤكد خبراء الصناعة بشكل خاص على أن سجل DNS لهذه النطاقات الفرعية يجب إدارته بعناية.

قد يتم فتح نطاقات فرعية مثل "summer2022." و "kampanya." و "rez." و "booking." لمشاريع قديمة ونسيانها. قد يتم فهرسة هذه العناوين في محركات البحث وقد تظل متصلة مباشرة بالخادم.

تعد النطاقات الفرعية مثل "dev." و "test." و "staging." و "beta." هي الأخطر من حيث الأمان. لأن هذه البيئات تعمل غالبًا بتكوين أمان غير كامل وقد يكون لها وصول إلى قواعد بيانات الإنتاج.

يمكن أن تشير النطاقات الفرعية مثل "admin." و "panel." و "cpanel." و "wp-admin." مباشرة إلى لوحات الوصول. عند تكوينها بشكل خاطئ، فإنها تكشف عن عنوان IP وتصبح هدفًا لهجمات القوة الغاشمة (brute force).

عندما يريد محتال أو مهاجم معرفة عنوان IP الحقيقي للفندق، فإنه يتبع الخطوات التالية:

1. تعداد DNS: يحاول أسماء النطاقات الفرعية الشائعة مثل "www" و "mail" و "ftp" و "admin" باستخدام أدوات DNS للقوة الغاشمة.
2. سجلات شفافية الشهادات: يسرد جميع النطاقات الفرعية المستخدمة من خلال النظر في جميع الشهادات الصادرة لذلك النطاق عبر crt.sh.
3. أرشيف الويب: يبحث في سجلات DNS القديمة في Wayback Machine والمحفوظات المماثلة.
4. استعلام IP العكسي: يسرد جميع المواقع المستضافة على هذا IP قبل Cloudflare.

تكتمل هذه الخطوات الأربع في بضع دقائق وفي معظم الحالات يتم الوصول إلى عنوان IP الحقيقي. لمزيد من التفاصيل حول الطرق التي يستخدمها المحتالون لتجاوز طبقة حماية Cloudflare، يمكنك الرجوع إلى منشورنا otel-domain-guvenligi-typosquatting.

الخطوة الأولى والأكثر أهمية هي تجميع كل سجلات DNS التي تملكها. نرى أن العديد من الفنادق لا تعرف قائمة النطاقات الفرعية الخاصة بها. قم بتصدير جميع سجلات A و CNAME و MX من لوحة إدارة DNS الخاصة بك.

أزل سجلات DNS الخاصة بالنطاقات الفرعية التي لم تعد مستخدمة، مثل مواقع الحملات القديمة، والبنية التحتية القديمة لإدارة علاقات العملاء، وتكاملات التجارة الإلكترونية القديمة. هذا يغلق الثغرة الأمنية ويبسط إدارة اسم النطاق.

قم بتوجيه النطاقات الفرعية التي لا تزال تستخدمها (باستثناء لوحة الإدارة) عبر وكيل Cloudflare قدر الإمكان. هذا يحافظ على إخفاء عنوان IP الحقيقي.

اسمح بالوصول إلى النطاقات الفرعية للإدارة مثل "admin." أو "cpanel." فقط من عناوين IP محددة. هذا يمنع هجمات القوة الغاشمة ومحاولات الوصول غير المصرح بها.

تحقق من جميع النطاقات الفرعية التي تملكها باستخدام أدوات المسح مرة واحدة على الأقل في الشهر. سيكون لديك فرصة للكشف المبكر عن أي ثغرات جديدة.

في فندق منتجع على ساحل بحر إيجة قمنا بفحصه أثناء بحثنا، كان النطاق الفرعي لمحرك حجز قديم تم إيقافه قبل عامين لا يزال نشطًا. يمكن لأي شخص يصل إلى عنوان IP الحقيقي للفندق من خلال هذا النطاق الفرعي اكتشاف الخدمات الأخرى المستضافة على نفس IP. عندما أبلغنا الفندق، كان المديرون غير مدركين تمامًا لهذا النطاق الفرعي.

ما هو الاستيلاء على النطاق الفرعي ولماذا يشكل خطرًا على فندقي؟ الاستيلاء على النطاق الفرعي هو استيلاء المهاجمين على نطاق فرعي لا يزال سجل DNS الخاص به موجودًا ولكنه لم يعد نشطًا. يمكن للمهاجم توجيه سجل DNS إلى خادمه الخاص عن طريق فتح حساب منصة للخدمة المحذوفة. في هذه الحالة، يمكن استخدام النطاق الفرعي الذي يحمل سمعة الفندق كموقع تصيد احتيالي.

كيف يمكنني معرفة عدد النطاقات الفرعية التي أملكها؟ يمكنك تصدير جميع السجلات من لوحة إدارة DNS الخاصة بك (cPanel، Cloudflare، Route53). يمكنك أيضًا رؤية الشهادات لجميع النطاقات الفرعية المسجلة في سجلات CT عن طريق البحث عن اسم نطاقك على crt.sh. يوفر الجمع بين هاتين الطريقتين الجرد الأكثر شمولاً.

ألا يمكنني وضع النطاقات الفرعية للبريد الإلكتروني خلف وكيل Cloudflare؟ لا، لا يمكن توجيه حركة مرور البريد الإلكتروني SMTP عبر وكيل Cloudflare. لهذا السبب، تكشف النطاقات الفرعية مثل "mail." و "smtp." دائمًا عن عنوان IP الحقيقي. للحل، يوصى بنقل البنية التحتية للبريد الإلكتروني إلى IP منفصل أو خدمة بريد إلكتروني قائمة على السحابة.

ألن يكون من الضار حذف سجلات DNS الخاصة بالنطاقات الفرعية القديمة؟ لا، على العكس، إنه مفيد. يؤدي حذف سجل DNS الخاص بالنطاقات الفرعية غير المستخدمة إلى إزالة المخاطر الأمنية. إذا لم تكن متأكدًا مما إذا كان هذا العنوان لا يزال يتلقى حركة مرور، فقم بتحليل نوع السجل قبل حذفه؛ ثم يمكنك إزالته بأمان.

حدد جميع النطاقات الفرعية لفندقك وتسريبات IP المحتملة في دقائق باستخدام أداتنا المجانية. شاهد على الفور أي من نطاقاتك الفرعية تشكل خطرًا.