Otel Subdomain Təhlükəsizliyi: Gizli Təhdidlər və Qorunma Yolları

Bir müştərimizin başına gələn hadisə bizi bu mövzunu dərindən araşdırmağa sövq etdi. İstanbulda bir butik otelin İT meneceri, əsas saytını Cloudflare arxasına aldıqdan sonra tam təhlükəsiz olduqlarını düşünürdü. Lakin bir neçə həftə sonra saxta bir rezervasiya saytı məhz otelin real server IP ünvanından istifadə edərək aktivləşdi. Bu, necə baş vermişdi?

Cavab sadə idi: "mail.oteladi.com" subdomaini, Cloudflare ilə konfiqurasiya edilməmiş köhnə e-poçt serverinə birbaşa işarə edirdi. Və o IP ünvanı hamı üçün açıq idi.

Subdomain (alt domen), bir əsas domenin önünə əlavə edilən bir prefiksdir. "www.oteladi.com" bir subdomaindir; "rezervasiya.oteladi.com" da həmçinin. Otellər adətən illər ərzində onlarla subdomain yaradırlar: bir mövsüm üçün hazırlanan kampaniya saytı, köhnə bir rezervasiya mühərriki, test mühiti, korporativ e-poçt infrastrukturu və daha çoxu.

Bu subdomainlərin bir qismi zamanla unudulur. DNS qeydləri silinmir, köhnə serverlərə işarə etməyə davam edir. Və bu unudulmuş ünvanlar, fırıldaqçılar üçün qızıl mədəni ola bilər.

Cloudflare və bənzəri CDN (Məzmun Çatdırılma Şəbəkəsi) xidmətləri, veb saytlarının önünə bir qoruma təbəqəsi əlavə edir. Bu sayədə real server IP-si gizlədilir. Ancaq bu qoruma yalnız Cloudflare vasitəsilə konfiqurasiya edilmiş qeydlər üçün keçərlidir.

"mail.oteladi.com" kimi bir subdomain, SMTP (e-poçt) trafiki üçün birbaşa server IP-sinə işarə etmək məcburiyyətindədir. E-poçt protokolu Cloudflare üzərindən yönləndirilə bilməz. Bu vəziyyət, birinin sadə bir DNS sorğusu ilə "mail" subdomainini araşdırması halında real IP-ni asanlıqla tapa biləcəyi mənasını verir.

Araşdırmalarımızda təhlil etdiyimiz Türk otellərinin yetmiş beş faizindən çoxunda bu cür açıq subdomain qeydlərinə rast gəldik. Bunların bir qismi illərdir istifadə edilməyən köhnə infrastruktur ünvanları idi; amma hələ də əlçatan vəziyyətdə idilər. SSL sertifikatları ilə subdomain əlaqəsi haqqında daha çox məlumat üçün saxta-ssl-sertifika-tespiti-rehberi yazımızı oxuya bilərsiniz.

"Dangling DNS" termini, bir DNS qeydinin hələ də mövcud olduğu, ancaq işarə etdiyi server və ya xidmətin artıq aktiv olmadığı vəziyyəti ifadə edir. Bu vəziyyət otel sektorunda geniş yayılmış, lakin çox vaxt fərq edilməyən bir təhdid yaradır.

Bir otel, illər əvvəl üçüncü tərəf bir rezervasiya mühərriki ilə müqavilə bağlamışdır. Bu mühərrik üçün "rezervasiya.oteladi.com" subdomaini yaradılmış və o şirkətin serverinə yönləndirilmişdir. Sonrakı illərdə mühərrik dəyişdirilmiş, yeni provayder üçün yeni subdomain açılmış; ancaq köhnə DNS qeydi heç kimin ağlına gəlmədən yerində qalmışdır.

Bu nöqtədə üç ssenari ortaya çıxa bilər. Birinci ssenaridə, üçüncü tərəf şirkət bağlanmış və o IP ünvanı başqa bir müştəriyə təyin edilmişdir. Yeni IP sahibi "rezervasiya.oteladi.com" ünvanına gələn trafiki öz serverinə yönləndirə bilər. İkinci ssenaridə, provayder xidməti dayandırmış, amma domen adı qeydi hələ də onlara işarə etməkdədir. Üçüncü ssenaridə isə təcavüzkar o IP ünvanını satın alaraq subdomain vasitəsilə otelin nüfuzundan istifadə edərək phishing saytı qura bilər.

Bəzi otellər, tanıtım materiallarını və ya köhnə blog məzmunlarını AWS S3, Azure Blob və ya Google Cloud Storage kimi bulud anbar xidmətlərində saxlamışdır. Bu xidmətlər üçün "cdn.oteladi.com" və ya "media.oteladi.com" kimi subdomainlər konfiqurasiya edilmiş, ancaq müqavilə sona çatdıqda anbar "bucket"ı silinmişdir.

Bucket silindikdə DNS qeydi silinməmişsə, silinmiş bucketın eyni adıyla yeni bir bucket yarada biləcək hər hansı bir şəxs o subdomaini ələ keçirə bilər. Bu, "subdomain takeover" (alt domen ələ keçirmə) olaraq adlandırılır və araşdırmalarımızda təhlil etdiyimiz Türk otel saytlarında zaman-zaman rast gəlinən bir vəziyyətdir.

Rezervasiya idarəetmə proqramı, kanal meneceri və ya müştəri sadiqliyi proqramı kimi SaaS xidmətləri ilə inteqrasiya zamanı yaradılan subdomainlər, xidmət müqaviləsi bitdikdə sahibsiz qala bilər. "loyalty.oteladi.com" və ya "crm.oteladi.com" kimi ünvanlar DNS qeydlərində aylarla, hətta illərlə qala bilər.

"mail.", "smtp.", "imap.", "webmail." kimi subdomainlər e-poçt infrastrukturuna işarə edir. Bunlar hər zaman real IP-ni açıqda qoyur. Sektor mütəxəssisləri bu subdomainlərin DNS qeydinin diqqətlə idarə edilməli olduğunu xüsusilə vurğulayır.

"summer2022.", "kampanya.", "rez.", "booking." kimi subdomainlər köhnə layihələr üçün açılmış və unudulmuş ola bilər. Bu ünvanlar axtarış motorlarında indekslənmiş ola bilər və birbaşa serverə bağlı qala bilər.

"dev.", "test.", "staging.", "beta." kimi subdomainlər təhlükəsizlik baxımından ən təhlükəli olanlardır. Çünki bu mühitlər adətən natamam təhlükəsizlik konfiqurasiyası ilə işləyir və istehsal məlumat bazalarına girişi ola bilər.

"admin.", "panel.", "cpanel.", "wp-admin." kimi subdomainlər birbaşa giriş panellərinə işarə edə bilər. Bunlar səhv konfiqurasiya edildikdə həm IP-ni ifşa edir, həm də brute force (kobud qüvvə) hücumlarına hədəf olur.

Bir fırıldaqçı və ya təcavüzkar, otelin real IP ünvanını öyrənmək istədikdə bu addımları izləyir:

1. DNS enumeration (DNS siyahıyaalma): Brute-force DNS alətləri ilə "www", "mail", "ftp", "admin" kimi yayğın subdomainləri yoxlayır
2. Certificate Transparency logları: crt.sh vasitəsilə o domen üçün verilmiş bütün sertifikatlara baxaraq istifadə olunan subdomainləri siyahıya alır
3. Veb arxivi: Wayback Machine və bənzəri arxivlərdə köhnə DNS qeydlərini araşdırır
4. Tərs IP sorğusu: Cloudflare-dən əvvəl o IP-də yerləşən bütün saytları siyahıya alır

Bu dörd addım bir neçə dəqiqə ərzində tamamlanır və əksər hallarda real IP-yə çatılır. Fırıldaqçıların Cloudflare qoruyucu təbəqəsini keçmək üçün istifadə etdiyi üsullar haqqında daha çox məlumatı otel-domain-guvenligi-typosquatting yazımızda tapa bilərsiniz.

İlk və ən kritik addım, sahib olduğunuz bütün DNS qeydlərini bir araya gətirməkdir. Bir çox otelin öz subdomain siyahısını bilmədiyini görürük. DNS idarəetmə panelinizdən bütün A, CNAME və MX qeydlərini ixrac edin.

Köhnə kampaniya saytı, köhnə CRM infrastrukturu, köhnə e-ticarət inteqrasiyası kimi artıq istifadə edilməyən subdomainlərin DNS qeydlərini ləğv edin. Bu, həm təhlükəsizlik boşluğunu bağlayır, həm də domen adı idarəetməsini sadələşdirir.

İstifadə etməyə davam etdiyiniz subdomainləri (idarəetmə paneli istisna olmaqla) mümkün qədər Cloudflare proxy-si vasitəsilə yönləndirin. Beləliklə, real IP ünvanı gizli qalır.

"admin." və ya "cpanel." kimi idarəetmə subdomainlərinə yalnız müəyyən IP ünvanlarından girişə icazə verin. Bu, brute force hücumlarını və icazəsiz giriş cəhdlərini əngəlləyir.

Ayda ən az bir dəfə, sahib olduğunuz bütün subdomainləri tarama alətləri ilə yoxlayın. Yeni bir boşluq ortaya çıxdıqda erkən aşkarlama şansınız olar.

Araşdırmamız zamanı təhlil etdiyimiz Egey sahilindəki bir kurort otelində, iki il əvvəl istifadədən çıxarılan köhnə rezervasiya mühərrikinə aid subdomain hələ də aktiv idi. Bu subdomain vasitəsilə otelin real IP ünvanına çatan biri, eyni IP üzərində yerləşən digər xidmətləri də kəşf edə bilirdi. Oteli məlumatlandırdığımızda rəhbərlər, o subdomaindən tamamilə xəbərsiz idi.

Subdomain takeover nədir və otelim üçün niyə risk yaradır? Subdomain takeover, DNS qeydi mövcud olan, ancaq artıq aktiv olmayan bir alt domen adının təcavüzkarlar tərəfindən ələ keçirilməsidir. Təcavüzkar, silinmiş xidmətə aid platform hesabı açaraq DNS qeydini öz serverinə yönləndirə bilər. Bu vəziyyətdə otelin nüfuzunu daşıyan subdomain, phishing saytı olaraq istifadə edilə bilər.

Neçə subdomainim olduğunu necə öyrənə bilərəm? DNS idarəetmə panelinizdən (cPanel, Cloudflare, Route53) bütün qeydləri ixrac edə bilərsiniz. Həmçinin crt.sh vasitəsilə domen adınızı axtararaq CT loglarında qeydiyyatdan keçmiş bütün subdomainlərə aid sertifikatları görə bilərsiniz. Bu iki metodun birləşməsi ən əhatəli inventarizasiyanı təmin edir.

E-poçt subdomainlərini Cloudflare proxy-si arxasına ala bilmərəmmi? Xeyr, SMTP e-poçt trafiki Cloudflare proxy-si vasitəsilə yönləndirilə bilməz. Bu səbəbdən "mail.", "smtp." kimi subdomainlər hər zaman real IP-ni ifşa edir. Həll yolu olaraq e-poçt infrastrukturunu ayrı bir IP və ya bulud əsaslı e-poçt xidmətinə daşımaq tövsiyə olunur.

Köhnə subdomainlərin DNS qeydlərini silmək zərərli olmazmı? Xeyr, əksinə, faydalıdır. İstifadə edilməyən subdomainlərin DNS qeydini silmək təhlükəsizlik riskini aradan qaldırır. Əgər o ünvana hələ də trafik gəlib-gəlmədiyindən əmin deyilsinizsə, DNS qeydini silməzdən əvvəl qeyd növünü təhlil edin; sonra təhlükəsiz şəkildə ləğv edə bilərsiniz.

Otelinizin bütün subdomainlərini və potensial IP sızmalarını pulsuz alətimizlə dəqiqələr içində təsbit edin. Hansı alt domen adlarınızın risk yaratdığını dərhal görün.