Subdominios abandonados representan un riesgo de seguridad para las empresas

Cuando las empresas olvidan desactivar los subdominios que ya no están siendo usados en sus servicios, éstas crean un vació legal a explotar por los atacantes.
seguridad empresarial
Y debido a que muchos proveedores de servicios no validan correctamente la propiedad de los subdominios señalados en sus servidores, los atacantes pueden crear nuevas cuentas y subdominios y abusar de los olvidados por las empresas, alegando como propios.
La eliminación o actualización de entradas de DNS para subdominios que ya no están siendo utilizadas activamente suena como algo que debe ser un procedimiento común, pero de acuerdo a los investigadores de Detectify, un proveedor con sede en Estocolmo de servicios de escaneo de seguridad web, este tipo de supervisión es en realidad bastante generalizada entre las empresas .
“Hemos identificado al menos 17 proveedores de servicios que no se ocupan de la verificación de la propiedad del subdominio correctamente y que permite esta vulnerabilidad para ser explotada, Heroku, Github, Bitbucket, Squarespace, Shopify, Desk, Teamwork, Unbounce, Helpjuice, HelpScout, Pingdom, Tictail, Campaign Monitor, CargoCollective, StatusPage.io and Tumblr, ” mencionan los investigadores de Detectify en una entrada de su blog.
El riesgo que corre la empresa depende de lo que se pueda hacer en un servicio de terceros una vez que un dominio apunte a el, un problema para el usuario es el de encontrarse un ataque de phishing, si se redirecciona a una pagina falsa del sitio web oficial.
En un escenario de ataque descrito por Detectify, una empresa puede crear un subdominio para su uso con un servicio externo de venta de entradas, pero más tarde se cerrará su cuenta y se olvidará de eliminar el subdominio. Los atacantes podrían entonces crear una cuenta nueva con el mismo servicio y reclamar como propio el subdominio de la empresa, que ya cuenta con la configuración de DNS necesarios, lo que les permite establecer un sitio web falso en él.
Detectify encontró que algunos de los subdominios que han sido expuestos a esta forma de secuestro pertenecen a diferentes tipos de organizaciones, incluyendo agencias gubernamentales, proveedores de servicios de salud, compañías de seguros y bancos.
La firma de seguridad ha creado una herramienta en línea que puede ayudar a las organizaciones a comprobar si tienen subdominios vulnerables a este ataque. La herramienta requiere que los usuarios demuestren en primer lugar que tienen el control sobre los dominios a analizar mediante el uso de varios métodos.
Algunos proveedores de servicios utilizan controles similares. Por ejemplo, para utilizar Google Apps con un nombre de dominio personalizado el administrador del dominio tiene que cargar un archivo HTML específico en el servidor Web que aloja el dominio, para agregar un TXT o un registro CNAME en la configuración de DNS de su dominio o para añadir una metatag específica para la página de inicio de su sitio web. Todos estos métodos son formas de verificación de la propiedad de dominio.