DNS Vulnerability: Dangling Domain Records

Vulnerabilidad DNS: Registros de Dominios Colgantes (Dangling Domains)

Risk: medium

Descripción

Los dominios colgantes (dangling domains) ocurren cuando los registros DNS apuntan a recursos que ya no están activos o bajo el control de la organización. Estas malas configuraciones pueden conducir al secuestro de dominios, la fuga de datos y el daño a la reputación. Las siguientes áreas son preocupaciones clave en la gestión de dominios colgantes:

1. Referencias a Recursos en la Nube

Los registros DNS que apuntan a recursos en la nube desaprovisionados plantean riesgos importantes. Las malas configuraciones comunes incluyen: * Registros CNAME huérfanos que apuntan a servicios en la nube terminados * Registros A dirigidos a direcciones IP liberadas

# Registro colgante peligroso
app.example.com.    IN CNAME   terminated-app.cloudservice.com.
api.example.com.    IN A       203.0.113.0   # Released IP

# Desmantelamiento adecuado
# 1. Eliminar el registro DNS antes de liberar el recurso
# 2. O reemplazar con un marcador de posición controlado
app.example.com.    IN CNAME   service-offline.example.com.

2. Integración de Servicios de Terceros

Los registros que apuntan a servicios de terceros descontinuados crean vulnerabilidades de seguridad: * Delegaciones de subdominios abandonadas * Endpoints de servicios caducados

# Configuración riesgosa
analytics.example.com.   IN CNAME   client-xyz.analytics-service.com.    # Service discontinued
track.example.com.      IN CNAME   example.abandoned-tracker.com.        # Company defunct

# Configuración segura
# Mantener siempre el inventario interno de dependencias de servicios
analytics.example.com.   IN CNAME   active-client.current-service.com.

3. Gestión de Subdominios

La limpieza inadecuada de subdominios conduce a posibles escenarios de toma de control (takeover): * Entornos de desarrollo/pruebas (staging) olvidados * Subdominios de aplicaciones heredadas (legacy) * Entornos de proyectos inactivos

# Subdominios vulnerables
dev.example.com.        IN CNAME   old-project.github.io.        # Repository deleted
stage.example.com.      IN CNAME   staging.heroku.com.          # App removed
beta.example.com.       IN A       198.51.100.1                 # Server decommissioned

# Gestión adecuada de registros
# Auditoría periódica y eliminación de subdominios inactivos
dev.example.com.        IN A       203.0.113.10                 # Internal development server
staging.example.com.    IN CNAME   current-stage.example.com.   # Active staging environment

4. Registros de Servidor de Correo

Los registros relacionados con el correo abandonados pueden provocar suplantación de identidad (spoofing) de correo electrónico y phishing: * Registros MX obsoletos * Referencias de servidores de correo en desuso

# Configuración de correo peligrosa
example.com.    IN MX    10 legacy-mail.example.com.    # Server decommissioned
mail.example.com.   IN A    203.0.113.50               # Released IP

# Configuración segura
example.com.    IN MX    10 primary-mail.example.com.
example.com.    IN MX    20 backup-mail.example.com.

5. Registros de Validación de Certificados

Los registros de validación de dominios abandonados plantean riesgos de seguridad: * Registros de desafío ACME obsoletos * Registros CNAME de validación de dominio olvidados

# Registros de validación riesgosos
_acme-challenge.example.com.    IN TXT    "abandoned-validation-token"
validate.example.com.          IN CNAME   validate.oldcertprovider.com.

# Configuración limpia
# Eliminar registros de validación después de la emisión del certificado
# Usar gestión de certificados automatizada

6. Registros de Descubrimiento de Servicios

Las entradas de descubrimiento de servicios obsoletas pueden exponer la infraestructura interna: * Registros SRV para servicios discontinuados * Referencias de endpoints de servicios heredados

# Registros de servicio expuestos
_ldap._tcp.example.com.    IN SRV    0 0 389 old-dc.example.com.
_xmpp._tcp.example.com.    IN SRV    0 0 5222 chat.example.com.

# Limpieza adecuada
# Elimine o actualice los registros de servicio durante el desmantelamiento
_ldap._tcp.example.com.    IN SRV    0 0 389 current-dc.example.com.

---

Estas malas configuraciones de dominios colgantes pueden resultar en incidentes de seguridad graves, que incluyen: * Ataques de secuestro de dominios (domain takeover) * Filtración de datos a través de endpoints secuestrados * Campañas de phishing utilizando dominios legítimos * Daño a la reputación de la marca * Exposición de detalles de la infraestructura interna

Las organizaciones deben implementar auditorías DNS periódicas, mantener inventarios de servicios y seguir procedimientos de desmantelamiento adecuados para evitar vulnerabilidades de dominios colgantes.

Recomendación

Para mitigar los riesgos asociados con los dominios colgantes, considere las siguientes recomendaciones:

• Comenzar con el Inventario de Dominios: Comience con una auditoría integral de todos los dominios y subdominios:

  # Formato de ejemplo de inventario de dominios
  domain: example.com
  subdomains:
    - app.example.com -> AWS CloudFront
    - api.example.com -> Azure App Service
    - mail.example.com -> Google Workspace
  owner: DevOps Team
  

• Implementar Niveles de Monitoreo Progresivos: Escale el monitoreo según la criticidad del dominio: | Tipo de Dominio | Frecuencia de Control | Motivo | |----------------------|-----------------------|----------------------------------| | Crítico Producción | Cada 5 min | Servicios críticos para el negocio| | Orientado al Cliente | Cada 15 min | Impacto en la experiencia del cliente| | Herramientas Internas| Cada hora | Soporte a operaciones internas | | Desarrollo | Cada 6 horas | Entornos no críticos |

• Auditoría de Dominios Regular:

• Validar todas las conexiones a recursos en la nube
• Verificar dependencias de servicios de terceros
• Verificar la exactitud de los registros DNS

• Monitorear certificados de subdominios

• Mejores Prácticas de Seguridad:

• Utilizar credenciales en la nube dedicadas para la gestión de DNS
• Implementar RBAC estricto para los cambios en DNS
• Habilitar el registro de auditoría (audit logging) para todas las modificaciones de DNS

• Mantener flujos de trabajo de aprobación para cambios en DNS

• Procedimientos Operativos:

• Documentar todos los detalles de propiedad del dominio
• Crear listas de verificación de desmantelamiento de servicios
• Mantener el mapeo de recursos en la nube

• Probar medidas de prevención de secuestro de dominios

• Estrategia de Desmantelamiento Planificada:

• Comenzar con la identificación de recursos
• Documentar todas las dependencias
• Monitorear conexiones activas
• Eliminar registros DNS
• Archivar detalles de configuración

Estas recomendaciones ayudan a garantizar una gestión de dominios adecuada y a prevenir vulnerabilidades de dominios colgantes, manteniendo la eficiencia operativa.

Enlaces

• Dangling Domains: Security Threats, Detection and Prevalence
• Dangling DNS and the dangers of subdomain hijacking
• Dangling DNS Record

Estándares

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_6_8
  • CC_7_1
  • CC_7_2
  • CC_8_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_25
  • ART_32
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213