Otel Subdomain Güvenliği: Gizli Tehditler ve Korunma Yolları

Bir müşterimizin başına gelen olay bizi bu konuyu derinlemesine incelemeye yöneltti. İstanbul'da bir butik otelin IT yöneticisi, ana sitesini Cloudflare arkasına aldıktan sonra tamamen güvende olduklarını düşünüyordu. Oysa birkaç hafta sonra sahte bir rezervasyon sitesi tam olarak otelin gerçek sunucu IP adresini kullanarak aktif hale gelmişti. Nasıl olmuştu bu?

Cevap basitti: "mail.oteladi.com" subdomain'i, Cloudflare ile yapılandırılmamış eski e-posta sunucusuna doğrudan işaret ediyordu. Ve o IP adresi herkese açıktı.

Subdomain (alt alan adı), bir ana domainin önüne eklenen ön ektir. "www.oteladi.com" bir subdomain'dir; "rezervasyon.oteladi.com" da öyle. Oteller genellikle yıllar içinde onlarca subdomain oluşturur: bir sezon için yaptırılan kampanya sitesi, eski bir rezervasyon motoru, test ortamı, kurumsal e-posta altyapısı ve daha fazlası.

Bu subdomain'lerin bir kısmı zamanla unutulur. DNS kayıtları silinmez, eski sunuculara işaret etmeye devam eder. Ve bu unutulmuş adresler, dolandırıcılar için altın madeni olabilir.

Cloudflare ve benzeri CDN (İçerik Dağıtım Ağı) servisleri, web sitelerinin önüne bir koruma katmanı ekler. Bu sayede gerçek sunucu IP'si gizlenir. Ancak bu koruma yalnızca Cloudflare üzerinden yapılandırılmış kayıtlar için geçerlidir.

"mail.oteladi.com" gibi bir subdomain, SMTP (e-posta) trafiği için doğrudan sunucu IP'sine işaret etmek zorundadır. E-posta protokolü Cloudflare üzerinden yönlendirilemez. Bu durum, birinin basit bir DNS sorgusuyla "mail" subdomain'ini araştırması halinde gerçek IP'yi kolayca bulabileceği anlamına gelir.

Araştırmalarımızda incelediğimiz Türk otellerinin yüzde yetmiş beşinden fazlasında bu tür açık subdomain kayıtlarına rastladık. Bunların bir kısmı yıllardır kullanılmayan eski altyapı adresleriydi; ama hâlâ erişilebilir durumdaydılar. SSL sertifikaları ile subdomain ilişkisi hakkında daha fazla bilgi için sahte-ssl-sertifika-tespiti-rehberi yazımızı okuyabilirsiniz.

"Dangling DNS" terimi, bir DNS kaydının hâlâ var olduğu ancak işaret ettiği sunucu ya da servisin artık aktif olmadığı durumu ifade eder. Bu durum otel sektöründe yaygın biçimde karşılaşılan, fakat çoğu zaman fark edilemeyen bir tehdit oluşturur.

Bir otel, yıllar önce üçüncü taraf bir rezervasyon motoruyla anlaşma yapmıştır. Bu motor için "rezervasyon.oteladi.com" subdomain'i oluşturulmuş ve o şirketin sunucusuna yönlendirilmiştir. İlerleyen yıllarda motor değiştirilmiş, yeni provider için yeni subdomain açılmış; ancak eski DNS kaydı kimsenin aklına gelmeden yerinde kalmıştır.

Bu noktada üç senaryo ortaya çıkabilir. Birinci senaryoda, üçüncü taraf şirket kapanmış ve o IP adresi başka bir müşteriye atanmıştır. Yeni IP sahibi "rezervasyon.oteladi.com" adresine gelen trafiği kendi sunucusuna yönlendirebilir. İkinci senaryoda, provider hizmeti sonlandırmış ama alan adı kaydı hâlâ onlara işaret etmektedir. Üçüncü senaryoda ise saldırgan o IP adresini satın alarak subdomain üzerinden otelin itibarını kullanarak phishing sitesi kurabilir.

Bazı oteller, tanıtım materyallerini veya eski blog içeriklerini AWS S3, Azure Blob ya da Google Cloud Storage gibi bulut depolama servislerinde barındırmıştır. Bu servisler için "cdn.oteladi.com" veya "media.oteladi.com" gibi subdomain'ler yapılandırılmış, ancak kontrat sona erdiğinde depolama bucket'ı silinmiştir.

Bucket silindiğinde DNS kaydı silinmemişse, silinmiş bucket'ın aynı adıyla yeni bir bucket oluşturabilecek herhangi biri o subdomain'i ele geçirebilir. Bu "subdomain takeover" (alt alan adı ele geçirme) olarak adlandırılır ve araştırmalarımızda incelediğimiz Türk otel sitelerinde zaman zaman rastlanan bir durumdur.

Rezervasyon yönetim yazılımı, kanal yöneticisi veya müşteri sadakat programı gibi SaaS servisleriyle entegrasyon sırasında oluşturulan subdomain'ler, servis sözleşmesi bittiğinde sahipsiz kalabilir. "loyalty.oteladi.com" veya "crm.oteladi.com" gibi adresler DNS kayıtlarında aylarca, hatta yıllarca kalabilir.

"mail.", "smtp.", "imap.", "webmail." gibi subdomain'ler e-posta altyapısına işaret eder. Bunlar her zaman gerçek IP'yi açıkta bırakır. Sektör uzmanları bu subdomain'lerin DNS kaydının dikkatli yönetilmesi gerektiğini özellikle vurguluyor.

"summer2022.", "kampanya.", "rez.", "booking." gibi subdomain'ler eski projeler için açılmış ve unutulmuş olabilir. Bu adresler arama motorlarında indekslenmiş olabilir ve doğrudan sunucuya bağlı kalabilir.

"dev.", "test.", "staging.", "beta." gibi subdomain'ler güvenlik açısından en tehlikeli olanlardır. Çünkü bu ortamlar genellikle eksik güvenlik yapılandırmasıyla çalışır ve üretim veritabanlarına erişimi olabilir.

"admin.", "panel.", "cpanel.", "wp-admin." gibi subdomain'ler doğrudan erişim panellerine işaret edebilir. Bunlar yanlış yapılandırıldığında hem IP'yi açığa çıkarır hem de brute force (kaba kuvvet) saldırılarına hedef olur.

Bir dolandırıcı ya da saldırgan, otelin gerçek IP adresini öğrenmek istediğinde şu adımları izler:

1. DNS enumeration (DNS listeleme): Brute-force DNS araçlarıyla "www", "mail", "ftp", "admin" gibi yaygın subdomain'leri dener
2. Certificate Transparency logları: crt.sh üzerinden o domain için verilmiş tüm sertifikalara bakarak kullanılan subdomain'leri listeler
3. Web arşivi: Wayback Machine ve benzeri arşivlerde eski DNS kayıtlarını araştırır
4. Ters IP sorgusu: Cloudflare öncesinde o IP'de barınan tüm siteleri listeler

Bu dört adım birkaç dakika içinde tamamlanır ve çoğu durumda gerçek IP'ye ulaşılır. Dolandırıcıların Cloudflare koruyucu katmanını aşmak için kullandığı yöntemler hakkında daha fazla ayrıntıyı otel-domain-guvenligi-typosquatting yazımızda bulabilirsiniz.

İlk ve en kritik adım, sahip olduğunuz tüm DNS kayıtlarını bir araya getirmektir. Birçok otelin kendi subdomain listesini bilmediğini görüyoruz. DNS yönetim panelinizden tüm A, CNAME ve MX kayıtlarını dışa aktarın.

Eski kampanya sitesi, eski CRM altyapısı, eski e-ticaret entegrasyonu gibi artık kullanılmayan subdomain'lerin DNS kayıtlarını kaldırın. Bu, hem güvenlik açığını kapatır hem de alan adı yönetimini sadeleştirir.

Kullanmaya devam ettiğiniz subdomain'leri (yönetim paneli hariç) mümkün olduğunca Cloudflare proxy'si üzerinden yönlendirin. Böylece gerçek IP adresi gizli kalır.

"admin." veya "cpanel." gibi yönetim subdomain'lerine yalnızca belirli IP adreslerinden erişime izin verin. Bu, brute force saldırılarını ve yetkisiz erişim girişimlerini engeller.

Ayda en az bir kez, sahip olduğunuz tüm subdomain'leri taran araçlarla kontrol edin. Yeni açıklık çıktığında erken tespit şansınız olur.

Araştırmamız sırasında incelediğimiz Ege kıyısındaki bir resort otelde, iki yıl önce kullanımdan kaldırılan eski rezervasyon motoruna ait subdomain hâlâ aktifti. Bu subdomain üzerinden otelin gerçek IP adresine ulaşan biri, aynı IP üzerinde barınan diğer servisleri de keşfedebiliyordu. Oteli bilgilendirdiğimizde yöneticiler, o subdomain'den tamamen habersizdi.

Subdomain takeover nedir ve otelim için neden risk oluşturur? Subdomain takeover, DNS kaydı var olan ancak artık aktif olmayan bir alt alan adının saldırganlar tarafından ele geçirilmesidir. Saldırgan, silinmiş servise ait platform hesabı açarak DNS kaydını kendi sunucusuna yönlendirebilir. Bu durumda otelin itibarını taşıyan subdomain, phishing sitesi olarak kullanılabilir.

Kaç subdomain'im olduğunu nasıl öğrenebilirim? DNS yönetim panelinizden (cPanel, Cloudflare, Route53) tüm kayıtları dışa aktarabilirsiniz. Ayrıca crt.sh üzerinden domain adınızı arayarak CT loglarında kayıtlı tüm subdomain'lere ait sertifikaları görebilirsiniz. Bu iki yöntemin birleşimi en kapsamlı envanteri sağlar.

E-posta subdomain'lerini Cloudflare proxy'si arkasına alamaz mıyım? Hayır, SMTP e-posta trafiği Cloudflare proxy'si üzerinden yönlendirilemez. Bu nedenle "mail.", "smtp." gibi subdomain'ler her zaman gerçek IP'yi açığa çıkarır. Çözüm için e-posta altyapısını ayrı bir IP ya da bulut tabanlı e-posta servisine taşımak önerilir.

Eski subdomain'lerin DNS kayıtlarını silmek zararlı olmaz mı? Hayır, aksine yararlıdır. Kullanılmayan subdomain'lerin DNS kaydını silmek güvenlik riskini ortadan kaldırır. Eğer o adrese hâlâ trafik gelip gelmediğinden emin değilseniz, DNS kaydını silmeden önce kayıt türünü analiz edin; sonra güvenle kaldırabilirsiniz.

Otelinizin tüm subdomain'lerini ve potansiyel IP sızıntılarını ücretsiz aracımızla dakikalar içinde tespit edin. Hangi alt alan adlarınızın risk oluşturduğunu hemen görün.