Subdomain Takeover 취약점

개요

subdomain takeover이란 말 그대로 하위 도메인 탈취라는 의미를 가지고 있으며, 다양한 서브도메인 중 관리되지 않은 서브도메인이 존재하여 공격자가 해당 서브도메인을 재등록하여 선점 후 도메인에 설정되어 있는 고정 쿠키를 획득하거나 CORS, CSP 같은 콘텐츠 보안정책을 우회하거나 Click Jacking을 심어 두는 등 다양한 악성 행위가 가능합니다.

 

또한 이러한 도메인을 공격자가 선점함으로써 타 사용자들을 유인하기 위해 관리되지 않았던 합법적인 도메인을 사용하여 피싱 페이지로 꾸며 악용할 가능성이 있으므로 파급효과는 크다고 볼 수 있습니다.

 

Subdomain 이란

Subdomain 이란 말 그대로 기존 도메인(naver.com)의 하위에 존재하는 도메인을 의미합니다.

예를 들어 movie.naver.com / www.naver.com / comic.naver.com 등의 도메인들은 naver.com 하위에 존재하는 서브도메인들이라고 볼 수 있습니다.

 

 CNAME 과 A Record

CNAME(Canonical Name)이란 하나의 도메인에 다른 이름을 가진 도메인을 부여해주는 것을 의미하며 하나의 도메인에 별칭을 지정해주는 것과 같습니다.

 

A Record란 하나의 도메인에 IP 주소를 매핑하여 사용하는 것으로 사용자들이 IPv4 형태의 주소를 직접 입력하고 기억하기가 어렵기에 기억하기 쉬운 도메인명을 지정하여 서로 1:1 매칭이 되게끔 해주는 것입니다.

 

도메인에 대한 전반적인 작동방식은 담음과 같습니다.

naver.com <-> 123.456.xxx.xxx # A Record 형식
www.naver.com -> naver.com # CNAME 형식

사용자가 www.naver.com을 요청하면 DNS 서버에서는 별칭이 부여된 naver.com을 반환하고 그에 따른 DNS 서버에 지정된 123.456.xxx.xxx 주소를 통해 접속, 즉 A레코드에 부여된 서버 IP 주소가 변경되어도 A Record 쪽만 수정하면 될 뿐 CNAME은 그대로 두고 사용할 수 있기에 편리함

이처럼 naver.com과 www.naver.com의 정보가 매핑되어 있는 것을 CNAME(Canonical Name) 타입이라고 합니다. 

 

Subdomian Takeover Test

hackerone Guide

해당 취약점을 테스트하기 위해선 진단하고자 하는 메인 도메인을 기점으로 존재하는 하위 도메인들의 정보를 모두 수집해야 됩니다.

 

사용하는 호스팅 업체에서 DNS 항목은 유지되고 있지만 웹 페이지만 삭제, 즉 만료된 페이지인 경우 공격자는 대상 서버에서 사용 중인 호스팅 업체를 통해 삭제된 하위 도메인을 다시 점령하여 다양한 콘텐츠를 제어할 수 있습니다.

 

대표적인 호스팅 업체들 이외에도 Amazon S3, github, Heroku, Shopify, Cargo 등 사용자의 권한으로 커스텀 도메인을 지정할 수 있기 때문에 공격에 사용되기도 합니다.

 

subfinder

하위 도메인을 열거하는 방법들은 여러 방법이 존재합니다. 그중 대표적으로 sublist3 r 또는 subfinder, subfuz 같은 자동화 도구가 존재합니다.

*sublist3r과 subfinder 모두 퍼저로써 훌륭하지만 개인적으론 subfinder를 선호합니다. 이유는 waybackurl(Method Fuzzing)이나 httpx(StatusCode) 간에 파이프라인으로 서로 상화 작용하여 사용할 수 있으므로 편합니다. 

 

하위 도메인들에 대한 정보수집이 끝났다면 subzy / subover / subjack / autoSubTakeover / NtHIM 등 관리되지 않고 잇는 하위 도메인들을 찾아주는 도구를 통해 표면 스캔을 해보면 됩니다.

 

Subdomain Takeover에 초점이 맞춰진 도구들의 경우 오탐이 다수 존재하기 때문에 다양하게 테스트 후 자신에게 잘 맞는 걸 사용하시면 됩니다.(저는 subzy와 subover을 병행하여 사용합니다.)

 

subzy

위처럼 취약하다고 출력되는 도메인을 따라 접근하면 아래와 같은 404 Error 페이지가 나타납니다. 여기서부터는 수동으로 직접 가상의 하위 도메인을 동일하게 생성하여 장악이 가능한지 확인해보시면 됩니다.

 

만약 도메인을 새로 다시 지정후 404였던 페이지가 공격자가 지정해둔 HTML 리소스를 띄워주게 된다면 취약한 거라 볼 수 있습니다.

Github

aws

Github의 경우 Custom 도메인으로 지정할 때 끝자리 문자열이 github.com 또는 github.io로 된 별칭을 사용할 수 없다는 문구가 나와서 진행이 불가능했습니다(해당 이슈를 대비하여 블랙리스트 별칭을 설정해둔 건지 잘 모르겠습니다..)

 

또한 취약하다는 콘솔이 나오고 404 Error Page가 나왔다고 전부 취약한 것은 아닙니다. 취약한지 아닌지 유무를 1차적으로 판단하기 좋은 깃 헙 링크 올려드립니다.

github.com/EdOverflow/can-i-take-over-xyz

EdOverflow/can-i-take-over-xyz

404에 나타난 에러 메시지를 참고하여 비교해보시고 Vulnerable로 확인되면 추가적으로 진행해보시면 시간을 단축하실 수 있으실 겁니다.

 

안전한 Subdomain 관리

Subdomain Takeover 취약점이 존재하는 경우 사용하지 않거나 종료된 서비스에 대한 DNS 항목까지 모두 제거, 즉 CNAME으로 매핑한 도메인 정보까지 모두 제거해줘야 됩니다. 규모가 큰 기업의 경우 일시적인 하위 도메인들에 대한 관리가 미흡하는 경우가 종종 있으므로 주기적으로 점검 및 모니터링을 통해 관리해주시면 됩니다.