Trong vài năm gần đây, nhiều công ty lớn nhỏ trên thế giới đã trở thành nạn nhân của một loại lỗ hổng bảo mật nghe có vẻ đơn giản nhưng lại gây hậu quả nghiêm trọng: chiếm quyền sở hữu subdomain (subdomain takeover). Lỗ hổng này không chỉ đe dọa về mặt kỹ thuật mà còn làm tổn hại đến uy tín thương hiệu của doanh nghiệp.

Subdomain takeover là gì?

Subdomain takeover xảy ra khi một subdomain (ví dụ: blog.example.com) trỏ đến một dịch vụ bên thứ ba như GitHub Pages, Heroku, Amazon S3… nhưng dịch vụ đó đã bị gỡ hoặc không còn tồn tại, trong khi bản ghi DNS vẫn còn giữ lại. Tin tặc có thể đăng ký dịch vụ với cùng tên đó và “chiếm quyền kiểm soát” subdomain, từ đó có thể:

• Đưa nội dung giả mạo lên subdomain.
• Lừa đảo (phishing) người dùng tin rằng họ đang truy cập một phần chính thức của công ty.
• Phân phối mã độc hoặc đánh cắp thông tin.

Hậu quả nặng nề về mặt thương hiệu

Mặc dù subdomain takeover không trực tiếp gây thiệt hại nội bộ như ransomware hay leak dữ liệu, nó gây ảnh hưởng nghiêm trọng đến hình ảnh và độ tin cậy của công ty. Người dùng, nhà đầu tư hoặc đối tác có thể vô tình truy cập vào một subdomain chứa nội dung lừa đảo, không phù hợp hoặc phản cảm — tất cả đều gắn liền với tên miền chính của doanh nghiệp.

Một số công ty bị phát hiện có hàng chục subdomain dễ bị chiếm dụng, và trong nhiều trường hợp, kẻ tấn công đã lợi dụng điều này để dựng trang giả dạng thông báo lỗi, thậm chí là những thông điệp “bêu xấu” công ty nhằm cảnh báo bảo mật yếu kém.

Vì sao lại xảy ra?

Lý do phổ biến dẫn đến tình trạng này là:

• Triển khai thử nghiệm các microsite, landing page,… rồi bỏ quên sau khi kết thúc chiến dịch.
• Di chuyển dịch vụ nhưng không dọn sạch các bản ghi DNS cũ.
• Quy trình kiểm soát DNS, cloud resource hoặc hạ tầng không chặt chẽ.
• Không có công cụ giám sát các bản ghi CNAME/alias đã trỏ tới nhà cung cấp bên ngoài.

Đáng lo ngại hơn, nhiều công ty vẫn giữ tâm lý “subdomain không quan trọng”, trong khi tin tặc chỉ cần một subdomain là đủ để thực hiện chiến dịch lừa đảo quy mô lớn.

Cách Thức Subdomain Takeover Hoạt Động

Subdomain takeover chủ yếu xuất phát từ các bản ghi DNS bị bỏ quên hoặc cấu hình sai. Quá trình tấn công thường diễn ra theo các bước sau:

1. Khám phá (Discovery):
Kẻ tấn công quét domain mục tiêu để tìm các subdomain bằng các công cụ như Subfinder, Amass, hoặc Assetfinder.

2. Liệt kê (Enumeration):
Kẻ tấn công kiểm tra các bản ghi DNS liên quan đến từng subdomain.

3. Xác minh (Verification):
Kẻ tấn công xác định các subdomain đang trỏ đến dịch vụ đã bị gỡ bỏ, thường trả về lỗi 404 hoặc NXDOMAIN.

4. Khai thác (Exploitation):
Nếu dịch vụ cho phép tạo mới hoặc chiếm lại các instance bị bỏ rơi, kẻ tấn công sẽ đăng ký và chiếm quyền kiểm soát subdomain đó.

5. Mục đích xấu (Malicious Use):
Sau khi kiểm soát, kẻ tấn công có thể dựng trang phishing, chèn mã độc, hoặc giả mạo website chính thức để đánh cắp thông tin đăng nhập và dữ liệu người dùng.

Các Dịch Vụ Phổ Biến Dễ Bị Chiếm Quyền Subdomain

Nhiều nền tảng cloud và SaaS có thể bị chiếm quyền subdomain nếu không được quản lý đúng cách. Một số dịch vụ thường xuyên trở thành mục tiêu bao gồm:

• Amazon AWS (S3 Buckets, EC2, CloudFront)
• GitHub Pages
• Heroku
• Azure Web Apps
• Netlify
• Shopify
• Bitbucket Pages
• Subdomain của WordPress và Blogger
• Zendesk, Freshdesk (các nền tảng hỗ trợ khách hàng)

Các dịch vụ này cho phép người dùng tạo subdomain tùy chỉnh. Nếu một tổ chức ngừng sử dụng mà không cập nhật hoặc xóa bản ghi DNS tương ứng, kẻ tấn công có thể chiếm quyền kiểm soát các subdomain này.

Trường hợp thực tế

1. Netlify

Một chuyên viên nghiên cứu bảo mật đến từ Pakistan có tên Ali Razzaq đã sử dụng netlify.com và anh ấy đã tìm ra được các subdomain đang trong trạng thái 404 (Website đã bị xóa nhưng DNS vẫn được trỏ đến). Với các bước như trên, anh ấy đã chiếm được quyền Subdomain và đã được CTO của netltify liên hệ và “thưởng” cho 1 khoản tiền.

2. Shopify và Heroku

Một lập trình viên có tên Valeriy Shevchenko đã chia sẻ việc kiểm soát thành công subdomain khi các chủ sở hữu quên xóa DNS trỏ tới Shopify và Heroku của một thương hiệu thể thao lớn.

Biện pháp phòng ngừa

Để hạn chế rủi ro từ lỗ hổng subdomain takeover, các chuyên gia an ninh khuyến cáo:

1. Quét định kỳ toàn bộ subdomain và kiểm tra trạng thái các bản ghi DNS.
2. Tự động phát hiện subdomain “mồ côi” (orphaned subdomain) trỏ đến dịch vụ không tồn tại.
3. Dọn sạch DNS khi gỡ bỏ dịch vụ, đặc biệt là với các dịch vụ cloud như GitHub Pages, Vercel, Heroku,…
4. Sử dụng công cụ như Subjack, Amass, Assetnote,… để kiểm tra lỗ hổng takeover.
5. Thiết lập chính sách hạ tầng rõ ràng: tất cả subdomain phải có chủ sở hữu rõ ràng và thời gian sử dụng cụ thể.

Việc lơ là với các subdomain không chỉ là sơ suất kỹ thuật mà còn là rủi ro về danh tiếng doanh nghiệp trong kỷ nguyên số. Trong môi trường bảo mật ngày càng phức tạp, một subdomain bị chiếm dụng có thể trở thành lỗ hổng làm đổ cả hệ thống niềm tin mà doanh nghiệp đã xây dựng trong nhiều năm.