Substack’da aniqlangan zaiflik orqali firibgarlar subdomenlarni manipulyatsiya qilishi mumkin

Raqamli xavfsizlik bugungi kunda har qachongidan ham muhimroq. Yangi aniqlangan zaiflik tufayli Substack platformasining domen boshqaruvi tizimidagi kamchiliklar kiberjinoyatchilarga yangi imkoniyatlar yaratib berishi mumkin. Xususan, noto‘g‘ri sozlangan DNS yozuvlari sababli, tajovuzkorlar tashlab ketilgan (faol bo‘lmagan) Substack subdomenlarini o‘z nazoratiga olishlari mumkin. Bu esa soxta kontent tarqatish, fishing hujumlari va brend nomidan foydalanib firibgarlik qilishga zamin yaratadi.

Tadqiqotchi Joren Vrancken tomonidan o‘tkazilgan tahlilga ko‘ra, 1 426 ta zaif domen aniqlangan bo‘lib, bu Substack bilan bog‘liq barcha maxsus domenlarning 8 foizini tashkil qiladi. Shuningdek, 11 ta wildcard (yulduzcha bilan belgilangan) domen topilgan bo‘lib, ular butun domen oilasini tahdid ostida qoldiradi. Bu degani, har qanday subdomen (support.example.com, login.example.com) tajovuzkorlar tomonidan ishlatilishi mumkin.

Substack Cloudflare for SaaS xizmatidan foydalanadi va foydalanuvchilar o‘z bloglarini maxsus domenlarga bog‘lash uchun CNAME yozuvlaridan foydalanadilar. Masalan, blog.example.com domeni target.substack-custom-domains.com ga yo‘naltiriladi, so‘ngra Cloudflare Anycast tarmog‘i orqali Substack serverlariga uzatiladi.

Zaiflik shundan iboratki, agar foydalanuvchi Substack’dagi blogini yo‘q qilsa-yu, lekin DNS sozlamalarini o‘zgartirmasa, eski CNAME yozuvi faol bo‘lib qoladi. Bunday holatda, tajovuzkorlar ushbu domenga quyidagi amallar orqali egalik qilishlari mumkin:

  1. Substack’dagi domen faollashtirish xizmatiga $50 to‘lab ro‘yxatdan o‘tish;
  2. Zaif domenni o‘z Substack hisobiga qo‘shish;
  3. Soxta kontent yoki fishing sahifalari yaratish.

Ba’zi kompaniyalar o‘z xizmatlarini yaxshiroq boshqarish maqsadida wildcard CNAME yozuvlaridan foydalanadilar. Bu degani, example.com domenining istalgan subdomeni avtomatik ravishda Substack ga yo‘naltiriladi. Agar bunday domen yetarlicha nazorat qilinmasa, tajovuzkorlar login.example.com yoki helpdesk.example.com kabi soxta sahifalarni yaratib, foydalanuvchilarni chalg‘itishi va ma’lumotlarini o‘g‘irlashi mumkin.

Bundan tashqari, Cloudflare xizmatining xatolikni qayta ishlash tizimi bu hujumlarga yo‘l ochadi. Substack bilan bog‘lanmagan domenlar:

  • 1001-xatolik: DNS muammosi yuzaga kelganini bildiradi;
  • 1014-xatolik: Cloudflare va mezbon domen o‘rtasidagi mos kelmaslikni bildiradi.

Bu esa haqiqiy domen egalarining muammolarni aniqlashini qiyinlashtiradi va tajovuzkorlarga bemalol zararli kontent joylashtirish imkonini beradi.

Substack uchinchi tomon DNS boshqaruvi uchun javobgar bo‘lmasa ham, hozirda OWASP tomonidan tavsiya etilgan Domain Takeover Prevention standartlariga rioya qilmaydi. Cloudflare for SaaS platformasi domen tekshiruvi uchun TXT yozuvlari yoki API orqali tekshiruv mexanizmlarini taqdim etadi, lekin Substack bu funksiyalarni hali joriy qilmagan.

Substack quyidagi choralarni ko‘rishi lozim:

  1. Domen egaligini tasdiqlash tizimini joriy qilish – har qanday domen qo‘shilishidan oldin, foydalanuvchi domen ustidan nazoratga egaligini tasdiqlashi kerak.
  2. Faol bo‘lmagan domenlarni avtomatik tekshirish – uzoq vaqt davomida ishlatilmagan va Substack bilan bog‘liq bo‘lmagan domenlar tizimdan chiqarilishi lozim.
  3. Wildcards domenlar xavfini minimallashtirish – Substack tomonidan wildcard yozuvlar aniqlansa, ogohlantirish tizimi joriy qilinishi lozim.

Substack foydalanuvchilari va tashkilotlar quyidagi xavfsizlik choralarini ko‘rishi tavsiya etiladi:

  • DNS yozuvlarini tekshirish va yangilash: SecurityTrails kabi vositalardan foydalanib, eski yoki ishlatilmayotgan CNAME yozuvlarini o‘chirish.
  • DNSSEC joriy qilish: Bu usul orqali ruxsatsiz DNS yozuvlarini o‘zgartirish ehtimolini kamaytirish mumkin.
  • Faoliyatni doimiy nazorat qilish: Substack yoki boshqa xizmatlar bilan bog‘liq domenlaringiz faol bo‘lib qolmaganiga ishonch hosil qiling.
  • Muhim xizmatlar uchun alohida domenlardan foydalanish: Bank va hukumat xizmatlari kabi muhim platformalar uchun Substack’dan foydalanmaslik tavsiya etiladi.

Bu holat yana bir bor shuni ko‘rsatadiki, bulutli xizmatlarning kengayishi bilan xavfsizlik muammolari ham ortib bormoqda. Substack’dagi ushbu zaiflik kompaniyalar va foydalanuvchilarga o‘z domen boshqaruvlarini yaxshilash zarurligini eslatib turibdi. Bu masala faqatgina Substack platformasi bilan cheklanib qolmaydi. Tadqiqotchilar tomonidan tuzilgan can-i-take-over-xyz bazasiga ko‘ra, 38 dan ortiq SaaS platformalarida shunga o‘xshash muammolar mavjud.

Xavfsizlikni ta’minlash uchun texnologik platformalar va foydalanuvchilar birgalikda harakat qilishlari lozim. Substack platformasi o‘zining zaif tomonlarini mustahkamlashi, foydalanuvchilar esa o‘zlarining domenlarini to‘g‘ri boshqarishi va kuzatib borishi kerak. Aks holda, bu kabi zaifliklar kiberjinoyatchilar tomonidan keng miqyosda ekspluatatsiya qilinishi mumkin.