تیم هکتیویست Wizcase به سرپرستی Avishai Efrat اخیراً در یک وب سایت شرکت پخش و رسانه های آمریکایی ، CBS محلی آسیب پذیری یافته است. با توجه به پیکربندی غلط فنی ، محتوای 3 زیر دامنه متعلق به سایت ثبت نشده و برای تصاحب باز شد. چنین آسیب پذیری می تواند به راحتی توسط مجرمان سایبری برای فریب کاربران و سرقت اطلاعات شخصی آنها یا از آنها برای حمله به آنها به روش های مختلف دیگری به راحتی استفاده شود. اگرچه این تیم هر 3 زیر دامنه را ادعا و تضمین کرده است ، CBS هنوز پاسخی به پیام های ما نداده است و نقشه های باز را برای همیشه حذف می کند.
چه خبر است؟
Subdomains پیشوند یک آدرس سایت (URL) است و هستند. به دلیل دلایل فنی یا سئو توسط سایتهای والدین (اصلی) آنها استفاده می شود. بنابراین اگر آدرس اینترنتی والدین مانند www.parent.com به نظر می رسد ، زیر دامنه آن می تواند در زیر www.subdomain.parent.com یافت شود. دامنه های زیر مجموعه به دلایل مختلف مختلف مانند آزمایش ویژگی های جدید قبل از افزودن به URL والدین خود یا جدا کردن بین انواع مختلف محتوا تنظیم شده اند. متأسفانه ، اغلب اوقات به دلایل مختلف مانند DNS و میزبانی از تنظیمات غلط یا تنظیمات منقضی شده ، در معرض تصرف قرار می گیرند. یا GitHub. این سایت ها را قادر می سازد تا محتوای خود را بطور مستقل از طریق هاست خارجی بارگذاری و مدیریت کنند. این یک عمل مفید برای سایت والدین است (در این مثال ، CBS محلی) بخشی از زیر دامنه و ظاهر داخلی است.
علیرغم مزایایی که با استفاده از خدمات میزبان خارجی حاصل می شود ، اغلب منجر به رها شدن دامنه ها می شود. توسط صاحب آنها به درستی برداشته نشده است. این ممکن است رخ دهد اگر سایت والدین سرویس میزبانی را لغو کند ، اما نقشه برداری زیر دامنه را حذف نمی کند. این امر می تواند به اجازه دهد هر کسی که زیر دامنه نقشهبرداری را پیدا کند ، دسترسی و حق دسترسی به مدیریت محتوای زیر دامنه را بدون اجازه کسب کند. این امر به عنوان تصاحب زیر دامنه شناخته می شود - یک عمل خطرناک که اغلب برای توزیع بدافزار ، سوء استفاده از داده های کاربر یا استفاده برای فیشینگ ، سرقت کوکی ها و موارد دیگر استفاده می شود.
تیم ما از کارشناسان امنیت سایبری 3 زیر دامنه آسیب پذیر را کشف کرد. برای میزبانی محتوای محلی محلی CBS - راهنمای ، مسابقه و پیشنهادات حریم خصوصی ESP. از طریق تحقیقات گسترده ، فهمیدیم که هر زیر دامنه انواع مختلفی از مطالب را در خود جای داده است. طبق تحقیقات ما ، مسابقه.cbslocal.com به عنوان محل نگهداری برای نمایش اطلاعات در مورد مسابقات برگزار شده توسط سایت اصلی استفاده شده است. ممکن است این بخشی از استراتژی بازاریابی شرکت باشد. در همین حال ، espguide.cbslocal.com به عنوان یک خبرنامه CBS با نام "خوردن" خدمت می کرد. خواب. بازی." سرانجام ، به نظر می رسد privacy.offers.cbslocal.com برای نمایش خط مشی رازداری محلی CBS استفاده می کرد. این زیر دامنه آخر بهترین فرصت برای کلاهبرداری را ایجاد می کند ، زیرا نام آن به عنوان یک وب سایت واقعی مربوط به حریم خصوصی به نظر می رسد.
این زیر دامنه ها به URL هایی اشاره می کنند که در سطل وب سایت استاتیک آمازون سرویس ذخیره سازی ساده (S3) قرار دارند. متأسفانه ، محتوای هر 3 زیر دامنه در آمازون در برخی از موارد ثبت نام نشد در حالی که نقشه برداری محتوای آنها همچنان فعال بود . این نتیجه باعث شده است که هر سایت هنگام نزدیک شدن خطایی "سطل مشخص وجود ندارد" را ایجاد کند. این یک نشانه واضح است که یک دامنه دامنه در معرض تصرف هر شخصی که در آن قرار دارد آسیب پذیر است.
توجه: این خطا فقط در صورتی ایجاد می شود که محتوای زیر دامنه در سطل های آمازون نقشه برداری شود. ارائه دهندگان دیگر بسته به میزبان زیر دامنه ممکن است پیام خطایی متفاوت را نشان دهند.
چگونه این اتفاق افتاد و چه معنایی برای کاربران CBS دارد؟
علیرغم محتوا که در سطل های Amazon S3 میزبانی می شود ، ذکر این نکته حائز اهمیت است.
این آسیب پذیری ها ظاهر شدند زیرا CBS محلی نقشه برداری محتوای فعلی خود را لغو نکرد ، بلکه استفاده از خدمات آمازون را متوقف کرد . 3 URL زیر دامنه هنوز در آمازون کار می کردند و ثبت شده بودند ، بنابراین هر کسی می توانست به راحتی ادعای سطل ها را کنترل کند و هر زیر دامنه را کنترل کند.
اگرچه وب سایت CBS محلی به طور مرتب توسط میلیون ها کاربر بازدید می شود ، به نظر می رسد این زیر دامنه ها ثبت نشده اند. و سالها خالی بود . وب سایت اصلی دیگر به هیچکدام از آنها پیوند ندارد ، بنابراین بعید است کاربران CBS در حال مرور آنها باشند. با این حال ، این خطرات مربوط به تصاحب زیر دامنه را کاهش نمی دهد. این آسیب پذیری ها هنوز هم می تواند تهدید بزرگی برای کاربران ناشناس ایجاد کند.
تهدیدهای اصلی ناشی از استفاده از زیر دامنه های ربوده شده عبارتند از:
- فیشینگ و کلاهبرداری : غالباً ، مجرمان سایبری از یک زیر دامنه برای ایجاد کپی استفاده می کنند. یک وب سایت شناخته شده برای ترغیب کاربران به وارد کردن اطلاعات شخصی ، اطلاعات حساب ، یا حتی جزئیات پرداخت. چنین اطلاعاتی ، با فعالیت وب سایت شما ، می تواند در ایجاد ایمیل های فیشینگ به ظاهر قابل اعتماد استفاده شود. همچنین از زیر دامنه های ادعا شده برای ترغیب بازدید کنندگان مشکوک برای بارگیری نرم افزارهای مخرب یا بازدید از وب سایت های مخرب استفاده می شود.
- کلونینگ سایت اصلی : با استفاده از یک کلون از سایت اصلی subdomain می توان برای جلب اعتماد کاربران و فریب آنها برای ورود به شخصی خود استفاده کرد. جزئیات بدون اینکه به هیچ چیز شک کنید. سپس داده های آنها برای اهداف مختلف ، معمولاً مخرب استفاده می شود. در کنار فیشینگ و کلاهبرداری ، این بزرگترین تهدید برای داده های کاربر محسوب می شود زیرا راهی آسان برای فریب هر کسی که از زیر دامنه ربوده شده بازدید می کند ایجاد می کند.
- حذف سایت : زیر دامنه های ادعا شده به هر کسی امکان می دهد اشکال مختلف محتوای استاتیک را برای آنها بارگذاری کند. متأسفانه ، به دلیل عدم کنترل خارجی ، می تواند شامل مطالب توهین آمیز یا نگران کننده مانند دیدگاه های مذهبی افراطی ، نگاه سیاسی و یا اخبار جعلی باشد.
- سرقت داده های کوکی : از کوکی ها برای ردیابی و ذخیره فعالیت آنلاین کاربر در استفاده می شود. هم سایت اصلی و هم زیر دامنه آنها. از آنجا که کوکی ها اغلب بین دامنه و زیر دامنه های آن مشترک هستند ، ربودن یک subdomain به مهاجمان امکان دسترسی آسان به کلیه داده های کوکی جمع آوری شده را می دهد. این شانس ایجاد تلاش های موفق فیشینگ ، کلاهبرداری را افزایش می دهد یا حتی ممکن است منجر به سرقت هویت کاربر شود. اگرچه در این مورد تهدیدی جدی نیست (CBS محلی و زیر دامنه های آن برای به اشتراک گذاشتن کوکی ها پیکربندی نشده اند) ، سرقت داده های کوکی هنوز یک تهدید احتمالی مربوط به تصاحب زیر دامنه است.
- حملات آنلاین مخرب : از طریق استفاده از کوکی ها و اسکریپت ها ، مهاجمان می توانند فعالیت کاربران را در زیر دامنه ربوده شده نظارت کنند. این دانش پس از آن می تواند برای افزایش استفاده از کلیک به وب سایت های خطرناک یا ترغیب کاربران به بارگیری نرم افزارهای مخرب استفاده شود. مهمتر از این ، مجرمان سایبری می توانند با ارسال درخواست HTTP و اجرای Javascript مخرب در زیر دامنه ، سایت اصلی را ربودند.
یادآوری این نکته مهم است که همه وب سایت های استاتیک آمازون (مانند زیر دامنه های آسیب پذیر ذکر شده) [] هیچ قابلیت سمت سرور را ندارید. این بدان معنی است که این سایتها در هیچ فرآیند برگشتی مانند ورود به سیستم و ارتباط بانک اطلاعاتی شرکت نمی کنند. با این حال ، از هر وب سایت استاتیک می توان برای هدایت کاربر ناشناس به سایتهای ناامن که چنین مطالبی را جمع می کنند استفاده کرد. از طرف دیگر ، مهاجمان می توانند اسکریپت های جانبی مخرب مشتری را با استفاده از Javascript در دامنه آسیب پذیر اجرا کنند.
آیا اکنون باید کاری انجام دهم؟
تیم امنیت سایبری ما با موفقیت ادعا و امنیت هر 3 زیر دامنه آسیب پذیر را انجام داد. آنها به عنوان اثبات مفهوم (POC) ، محتوای استاتیک مضر را برای بارگیری هکرها از ربودن آنها بارگذاری کردند. به محض اینکه این آسیب پذیری ها کشف شد ، ما همچنین با CBS Local تماس گرفتیم. پس از دریافت پاسخ ، می توانیم زیر دامنه ها را تحویل دهیم تا بتوانند برای همیشه حذف شوند.
اگرچه این آسیب پذیری ها اکنون تأمین شده اند ، بسیار محتمل است بسیاری از سطل های دیگر ثبت نشده مانند CBS وجود داشته باشد. گزارش های خبری نشان می دهد که بسیاری از شرکت های بزرگ مانند مایکروسافت ، آمازون و اپل نیز زیر دامنه های خود را ربوده اند. متأسفانه ، در بسیاری موارد ، در نتیجه موارد ، اعتبار کاربران به سرقت رفته یا سوءاستفاده می شود.
خوشبختانه ، شما هنوز هم می توانید از اطلاعات شخصی خود به صورت آنلاین محافظت کرده و از برداشت داده های خود بپرهیزید .
از وارد کردن اطلاعات شخصی خود در هر سایتی بدون آدرس HTTPS امن. اطمینان حاصل کنید که سایت هیچ گونه خطای گواهی را نشان نمی دهد. اگر به یک سایت یا زیر دامنه آن با یک آدرس مشکوک HTTP مراجعه کردید ، از کلیک کردن روی هرگونه تبلیغات پاپ آپ یا پیام های خودداری کنید . آنها می توانند با انواع مختلفی از بدافزارها یا ویروس ها آلوده شوند ، که آماده هستند فقط با یک کلیک بر روی دستگاه شما نصب شوند.
به یاد داشته باشید که هر چیز مشکوکی را به محض مشاهده گزارش دهید ، از جمله ایمیل های غیر معمول یا سایه دار. توابع سایت به این ترتیب شما نه تنها از داده های خود محافظت می کنید بلکه از کلاهبرداری سایر کاربران نیز جلوگیری می کنید.
برای حفاظت بیشتر ، یک برنامه آنتی ویروس قابل اعتماد و یک VPN نصب کنید. آنها ضمن محافظت از هویت آنلاین شما ، لایه ای از امنیت اضافی را به دستگاه شما اضافه می کنند. شما حتی می توانید بسیاری از ارائه دهندگان VPN را برای مدت معینی به صورت رایگان و کاملا بدون ریسک امتحان کنید! برای کسب اطلاعات بیشتر در مورد چگونگی محافظت از VPN از داده های آنلاین خود ، راهنمای VPN ما را برای مبتدیان دنبال کنید.
چرا باید به WizCase اعتماد کرد؟
ترجمه تقریباً به 30 زبان ، WizCase یکی از وب سایت های پیشرو در زمینه آزادی آنلاین و امنیت اینترنت است. . وب سایت ما به مردم در سراسر جهان کمک می کند و هزاران خواننده معمولی را خیلی سریع به دست آورد. ما مرتباً نقض داده های جدید و آسیب پذیری های وب سایت ، مانند نشت های متعدد در صنعت پزشکی و سرورهای ناایمن در یک سایت محبوب آشپزی را کشف و گزارش می کنیم.
قبل از انتشار هر گزارش ، ما همیشه با شرکت آسیب دیده تماس می گیریم تا آن را در مورد موجود اطلاع دهیم. موضوع. این تضمین می کند که برای محافظت از داده های در معرض و کاربران درگیر ، می توان از نشت یا هرگونه آسیب پذیری محافظت کرد.
اگرچه ما چندین بار با CBS Local تماس گرفته ایم تا آنها را از این مسئله آگاه کنیم ، اما هنوز پاسخی دریافت نکردیم. امیدواریم با انتشار این گزارش ، بتوانیم این شرکت را ترغیب کنیم تا زیر دامنه های آسیب پذیر خود را تأمین کند. تا آن زمان ، POC ما باید از هکرها در تلاش برای ربودن زیر دامنه ها جلوگیری کند.
فیلترشکن پرسرعت
