본 포스팅은 학습 목적으로 작성되었으며, hackerone report를 기반으로 작성되었습니다.
분석 레포트
https://hackerone.com/reports/484420
Ford disclosed on HackerOne: Subdomain takeover on...
hackerone.com
ford.com 의 하위 도메인 중 하나가 소유권이 없는 CNAME 레코드가 있는 Azure를 가리키고 있다. 현재 누구든지 ford.com 하위 도메인을 소유할 수 있다. 해당 취약점은 Subdomain Takeover 취약점이라 명명된다.
Azure 포털에 클라우드 앱 가상 머신을 등록한 후에는 dynatraceppeast01.cf.ford.com usclsapipma.cv.ford.com의 트래픽을 완전히 제어할 수 있다. (가상 머신과 해당 OS를 완전히 제어하기 때문에 HTTP/HTTPS뿐만 아니라 메일 트래픽 등도 제어할 수 있다).
파일 첨부
해당 그림 1은 FQDN의 "eatus" 부분과 Domain NameLabel "feuscspma3 fcvapi" 부분, 해당 FQDN에 대한 "사용가능:true"를 확인할 수 있도록 첨부되었다.
해당 도메인에 대한 dig 명령의 결과로, ford 하위 도메인의 CNAME 항목에 대한 NXDOMAIN 응답을 볼 수 있다.
완화
ford.com DNS 영역에서 해당 부분 CNAME 레코드를 완전히 제거한다.
Azure 포털에 다시 청구를 요청한다.
영향
Subdomain Takeover 취약점은 멀웨어 배포, 피싱/스피어 피싱, XSS, 인증 우회, 포드 하위 도메인을 대신하여 합법적인 메일 송수신 등의 여러 작업을 수행하기 위해 악용될 수 있다.
참고
FQDN이란?
FQDN에 대해 알아보자
FQDN은 Fully Qualified Domain Name의 약어로, 인터넷에서 컴퓨터나 기기의 위치를 정확하게 나타내는 도메인 이름입니다. 예를 들어, www.example.com이라는 것도 FQDN인거죠. FQDN은 다음과 같은 부분으로 구
another-day.tistory.com
domain name lable
도메인 이름 데이터 포맷, 레이블, 그리고 FQDN
DNS 질의응답 패킷에서 쓰이는 도메인 이름 데이터는 우리가 아는 도메인 이름과는 다소 다른 모습을 가집니다. 도메인 이름을 표기한 'dnssec.tistory.com'은 사람이 사용하기 쉬운 형태인 텍스트(text
dnssec.tistory.com
