
Уязвимость, обнаруженная в Substack: мошенники могут манипулировать субдоменами
Цифровая безопасность сегодня важнее, чем когда-либо. Недавно выявленная уязвимость в системе управления доменами платформы Substack может создать новые возможности для киберпреступников. В частности, из-за неправильно настроенных DNS-записей злоумышленники могут захватить заброшенные (неактивные) субдомены Substack. Это открывает возможности для распространения поддельного контента, фишинговых атак и мошенничества от имени брендов.
Согласно анализу исследователя Йорена Вранкена, было выявлено 1 426 уязвимых доменов, что составляет 8% от общего числа пользовательских доменов, связанных с Substack. Также были обнаружены 11 доменов с подстановочными знаками (wildcard), которые подвергают опасности всю доменную инфраструктуру. Это означает, что злоумышленники могут использовать любые субдомены, такие как support.example.com или login.example.com, для проведения фишинговых атак.
Как устроена доменная система Substack
Substack использует Cloudflare for SaaS, а пользователи настраивают CNAME-записи для привязки своих блогов к пользовательским доменам. Например, домен blog.example.com направляется на target.substack-custom-domains.com, а затем Cloudflare перенаправляет трафик на серверы Substack.
Уязвимость возникает в том случае, если пользователь удаляет свой блог на Substack, но не изменяет настройки DNS. В этом случае старая CNAME-запись остается активной, что позволяет злоумышленникам перехватить домен следующим образом:
- Оплатить $50 за активацию домена в Substack.
- Добавить уязвимый домен в свой аккаунт Substack.
- Размещать на нем вредоносный контент или фишинговые страницы.
Как wildcard-записи усиливают угрозу
Некоторые компании используют wildcard CNAME-записи для управления своими доменами. Это означает, что любые субдомены (например, login.example.com) автоматически направляются на Substack. Если такой домен не контролируется должным образом, злоумышленники могут создать поддельные страницы (например, helpdesk.example.com), обмануть пользователей и украсть их данные.
Дополнительно, система обработки ошибок Cloudflare также способствует реализации атак. Если домен не связан с Substack, пользователи видят следующие ошибки:
- Ошибка 1001 – проблема с DNS-разрешением.
- Ошибка 1014 – несоответствие заголовков хоста в Cloudflare.
Эти ошибки затрудняют владельцам доменов обнаружение проблем, но не мешают злоумышленникам использовать уязвимость.
Хотя Substack не несет прямой ответственности за управление сторонними DNS-записями, на данный момент он не соответствует стандартам OWASP по предотвращению перехвата доменов. Cloudflare for SaaS предлагает механизмы проверки доменов через TXT-записи или API, но Substack пока не внедрил эти меры безопасности.
Какие меры должен предпринять Substack
- Внедрить систему подтверждения владения доменом перед его добавлением в платформу.
- Автоматически проверять неиспользуемые домены и исключать их из системы.
- Предупреждать владельцев при обнаружении wildcard-записей, увеличивающих риски.
Рекомендации для пользователей Substack
- Проверить и обновить DNS-записи: использовать инструменты вроде SecurityTrails для удаления устаревших CNAME-записей.
- Внедрить DNSSEC: это поможет предотвратить несанкционированные изменения DNS-записей.
- Регулярно мониторить активность: убедиться, что связанные с Substack домены остаются под контролем.
- Использовать отдельные домены для важных сервисов: не применять Substack для банковских и правительственных платформ.
Этот случай подчеркивает, что с ростом облачных сервисов увеличиваются и проблемы безопасности. Уязвимость в Substack напоминает компаниям и пользователям о необходимости строгого контроля за доменными записями. По данным исследователей, аналогичные проблемы присутствуют более чем на 38 SaaS-платформах, что указывает на системные ошибки в управлении DNS.
Обеспечение безопасности требует совместных усилий со стороны технологических платформ и пользователей. Substack должен устранить слабые места, а пользователи – тщательно управлять своими доменами. В противном случае такие уязвимости могут стать инструментом массовых кибератак.