Subdomain Takeover

Toma de Control de Subdominio

Risk: medium

Descripción

Los ataques de toma de control de subdominio (Subdomain Takeover) son una clase de problemas de seguridad en los que un atacante puede tomar el control del subdominio de una organización a través de servicios en la nube como GitHub, AWS o Azure. Estos ocurren habitualmente cuando el servicio de terceros ya no es necesario, pero las entradas DNS del subdominio no se han limpiado.

Si un atacante puede controlar uno de sus subdominios, puede llevar a cabo múltiples tipos de ataques. Dependiendo de las capacidades del proveedor de servicios de terceros:

• Realizar Cross-Site Scripting (XSS)
• Ataques de phishing
• Robo de cookies de alcance amplio (Broadly Scoped Cookies)
• Clickjacking

Recomendación

A continuación se presentan recomendaciones para mitigar el riesgo de ataques de toma de control de subdominio:

• Eliminar el subdominio vulnerable: Elimine el registro DNS para el subdominio reportado como vulnerable.
• Auditar y monitorizar subdominios regularmente: Revise de manera rutinaria todos los subdominios para asegurarse de que se utilizan activamente y son necesarios.
• Eliminar servicios de terceros sin uso: Elimine los servicios de terceros innecesarios para reducir el riesgo de toma de control de subdominio.
• Elegir sabiamente a su proveedor de servicios: Evite los proveedores con un historial de problemas de toma de control de subdominios.

Enlaces

• Subdomain takeover
• CWE-16

Estándares

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_3
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213