Oxopage
Hackerlar, “Dangling DNS” olarak bilinen açıkları kullanarak şirketlerin alt alan adlarını ele geçiriyor. Dangling DNS saldırıları, kuruluşların güvenlik altyapılarını ciddi tehditlerle karşı karşıya bırakıyor. Siber güvenlik ekipleri, bu saldırı vektörüne yönelik tespitlerin arttığını belirtmektedir. Özellikle DNS yapılandırmalarının sürekli denetlenmesi gerektiğini vurgulamaktadırlar.
Yeni Bir Tehdit Alanı: Dangling DNS Saldırıları
DNS saldırıları nasıl önlenebilir?
Alt alan adı ele geçirme saldırıları, yanlış yapılandırılmış ya da terk edilmiş DNS kayıtlarından gerçekleşmektedir. Özellikle, bir subdomain’in CNAME gibi kayıtları, süresi dolmuş veya artık var olmayan bir hizmete işaret ettiğinde risk oluşmaktadır. Bu durum, sadece CNAME kayıtlarıyla sınırlı kalmamaktadır. NS, MX, A ve AAAA gibi diğer DNS kayıt türlerini de kapsamaktadır. Bir kuruluş bir hizmeti sonlandırdığında veya DNS kayıtlarını güncellemediğinde, saldırganlar bu boşluktan yararlanabilmektedirler. Terk edilmiş alt alan adını hizmet sağlayıcı üzerinde yeniden kaydederek kontrolü ele geçirebiliyorlar.
Örneğin, bir şirketin destek hattına ait subdomain’i Zendesk gibi bir SaaS platformunda barındırılıyor olabilmektedir. Şirket, bu hizmeti iptal ettiğinde, ilgili DNS kaydını güncellemeyi unutursa ciddi bir güvenlik açığı doğar. Bu açığı fark eden saldırganlar, aynı platform üzerinde ücretsiz bir deneme başlatarak harekete geçebilirler. Deneme başlatan saldırgan, şirketin terk ettiği alt alan adının tam kontrolünü ele geçirme şansı bulur.
DNS saldırılarına karşı kuruluşların düzenli aralıklarla tüm DNS kayıtlarını gözden geçirmesi önemlidir. Kullanılmayan veya süresi dolmuş alt alan adları hemen kaldırılmalıdır. Aktif kullanılan hizmetler için DNS yapılandırmaları sürekli güncellenmelidir. Ayrıca, bulut kaynaklarının ve SaaS platformlarının kullanım süresi sona erdiğinde ilgili DNS kayıtları iptal edilmelidir. Güçlü erişim kontrolleri ve izleme sistemleri kullanarak açıkta kalan subdomain’ler tespit edilmelidir. Tedarik zinciri güvenliği için tüm üçüncü taraf entegrasyonları dikkatle yönetilmelidir.
Bulut Hizmetlerindeki Yanlış Yapılandırmalar Riski Artırıyor
Benzer şekilde, bulut hizmetleri üzerinde yapılan hatalar da bu saldırılara kapı aralıyor. Örneğin, bir kuruluş AWS S3 üzerinde barındırılan statik bir web sitesini silip, ilgili DNS kayıtlarını güncellemezse saldırganlar aynı isimde yeni bir bucket açabiliyorlar. Böylece tüm trafik yönlendirilerek kötü amaçlı olarak kullanılabiliyor.
Güvenlik araştırmacıları, 2024 Ekim ile 2025 Ocak arasında dikkat çekici sonuçlar elde etti. Araştırmaya göre, büyük şirketler ve devlet kurumlarına ait yaklaşık 150 S3 bucket silindiği bildirilmiştir. Ancak DNS kayıtları güncellenmediği için bu kaynaklar saldırıya açık bırakılmıştır. Bu unutulan kaynaklara sekiz milyondan fazla istek yapıldığı tespit edilmiştir. Yapılan istekler, konteyner imajları ve SSLVPN sunucu konfigürasyonları gibi kritik kaynaklara yönelikti.
Tedarik Zinciri Güvenliği de Tehlikede
Alt alan adı ele geçirmeler yalnızca web sitesi tahribatı veya kimlik bilgisi hırsızlığıyla sınırlı kalmıyor. Kuruluşlar subdomain’leri yazılım güncellemeleri, bulut servis şablonları ve kritik varlıklar için kullandığında risk daha da büyüyor. Bir saldırgan, açık bir subdomain üzerinden tedarik zincirine kötü amaçlı kod enjekte edebilmektedir. Bu da uzaktan kod çalıştırma (RCE), kaynak ele geçirme ya da kalıcı arka kapılar oluşturma gibi sonuçlar doğurmaktadır.
Siber güvenlik firması SentinelOne, geçtiğimiz yıl içerisinde 1.250’den fazla subdomain takeover riskini belgeledi. Firma, özellikle üçüncü taraf servisler kullanılırken yazılım geliştirme sürecinin her aşamasında güçlü güvenlik önlemlerinin uygulanması gerektiğini vurguladı. Özellikle çalışır durumdaki güvenlik (runtime security) önlemlerinin kritik önem taşıdığına dikkat çekildi.
Kuruluşlar Ne Yapmalı?
Bu yeni tehdit dalgası, DNS kayıtlarının doğru yönetilmesinin önemini bir kez daha ortaya koyuyor. Kuruluşlar, alt alan adlarını aktif tutmalı ya da kullanmadıkları alanları kapatarak DNS kayıtlarını kaldırmalı. Siber güvenlik tehditleri sürekli evrildiği için bulut ve DNS yapılandırmalarının düzenli denetlenmesi şarttır. Yapılandırmaların güncellenmesi, kurumların güvenliğini sağlamak için zorunlu hale gelmiştir.
