Bilgisayar korsanları, kurumsal alt alanları devralmak için “sarkan DNS” kayıtları olarak bilinen şeyden yararlanıyor ve kuruluşların güvenlik çerçevelerine önemli tehditler oluşturuyor.
Bu saldırı vektörü, DNS yapılandırma yönetiminde sürekli uyanıklık ihtiyacını vurgulayarak güvenlik ekipleri tarafından giderek daha fazla not edildi.
Yeni bir tehdit manzarası
Subdomain devralma, yanlış yapılandırılmış veya kullanılmayan bir alt alanın DNS girişi, özellikle kanonik isim (CNAME) kayıtları, süresi dolmuş veya var olmayan bir hizmete işaret ettiğinde ortaya çıkar.
.png
)
“Sarkan DNS” olarak adlandırılan bu senaryo sadece CNAME kayıtlarını değil, aynı zamanda NS, MX, A ve AAAA gibi diğer DNS kayıt türlerini de içerir.
Kuruluşlar bir hizmeti durdurduğunda veya hizmet sonrası DNS girişlerini güncelleyemediğinde, saldırganlar terk edilmiş alt alanını servis sağlayıcısına kaydedebilir ve üzerinde kontrol sahibi olabilirler.
Örneğin, bir şirketin Yardım Masası Subdomain daha önce Zendesk gibi bir SaaS platformunda barındırılmışsa ve hizmet DNS’yi güncellemeden feshedilmişse, bir saldırgan şirketin alt alanında aynı sağlayıcı ile ücretsiz bir deneme başlatabilir ve böylece kontrolü ele geçirebilir.
Bulut hizmeti yanlış yapılandırmaları bu saldırılar için başka bir yol sunmaktadır.
Bir kuruluş, bir bulut kaynağını, ilgili DNS girişlerini kaldırmadan veya güncellemeden statik bir web sitesini barındırmak için kullanılan bir AWS S3 kovası gibi silerse, saldırganlar aynı alt alan adına sahip yeni bir kova kaydetebilir, trafiği yeniden yönlendirebilir ve potansiyel olarak değiştirir.
Güvenlik araştırmacıları tarafından Ekim 2024’ten Ocak 2025’e kadar yapılan yeni bir araştırma soruşturması, daha önce büyük şirketler ve devlet kurumlarına ait olan ve hala modası geçmiş DNS kayıtları tarafından atıfta bulunulan yaklaşık 150 S3 kova buldu.
Konteyner görüntüleri ve SSLVPN sunucu konfigürasyonları gibi çeşitli kritik kaynaklar arayan bu var olmayan kovalara 8 milyondan fazla talepte bulunuldu.
Tedarik zinciri riski
Çıkarımlar, alt alan devralmalarının geleneksel sonuçları olan sadece web sitesi tahribatının veya kimlik bilgisi hırsızlığının ötesine uzanmaktadır.
Yazılım güncellemelerini, bulut hizmeti şablonlarını ve diğer kritik varlıkları dağıtmak için alt alanlar kullanan kuruluşlarla, bir saldırgan bu tedarik zincirlerine kötü amaçlı kod enjekte edebilir, bu da potansiyel uzaktan kod yürütmesine (RCE), kaynak kaçırmaya ve hatta kalıcı arka planlara yol açabilir.
Bir siber güvenlik firması olan Sentinelone, geçtiğimiz yıl yoksun bulut kaynakları nedeniyle 1.250’den fazla subdomain devralma riski tespit etti.
Tüm yazılım geliştirme yaşam döngüsü boyunca güçlü güvenlik uygulamalarını savunarak, özellikle üçüncü taraf hizmetleri dahil ederken çalışma zamanı güvenliğinin kritik olduğunu vurguluyorlar.
Bu ortaya çıkan tehdit, titiz DNS yönetiminin öneminin altını çizmektedir.
Kuruluşlar, alt alanlarının aktif olarak kullanılmasını veya güvenli bir şekilde hizmet verilmesini sağlamalı ve sömürü önlemek için ilgili tüm DNS kayıtlarını kaldırmalıdır. 4
Siber manzara geliştikçe, uyanık izleme yoluyla proaktif güvenlik önlemlerini korumak ve bulut ve DNS konfigürasyonlarına zamanında güncelleme bu sofistike saldırılara karşı korunmak için çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!