Ce sunt subdomeniile și riscurile lor?

Un subdomeniu este o extensie a domeniului principal (ex: mail.firmatau.ro, dev.firmatau.ro, staging.firmatau.ro). Companiile creează zeci de subdomenii pentru email, aplicații interne, teste, magazine online etc.

Riscurile principale legate de subdomenii:

  • Subdomain Takeover — apare când un subdomeniu punctează (prin DNS CNAME) spre un serviciu cloud (GitHub Pages, Heroku, Netlify, AWS S3) care nu mai e activ. Un atacator poate revendica acel serviciu și controla subdomeniul tău.
  • Subdomenii uitate — aplicații de test, staging sau demo lăsate active cu versiuni vechi de software, fără actualizări de securitate.
  • Phishing intern — atacatorii care controlează un subdomeniu pot lansa atacuri de phishing care par legitime (vin de la @firmatau.ro).

De ce contează?

  • Subdomain takeover este clasificat ca vulnerabilitate cu severitate ridicată de OWASP și poate fi exploatat pentru a fura cookie-uri de sesiune, a lansa phishing sau a compromite credibilitatea brandului.
  • Suprafața de atac extinsă — fiecare subdomeniu activ este un punct de intrare potențial. Un subdomeniu cu WordPress neactualizat poate fi compromis și folosit ca pivot pentru restul infrastructurii.
  • Conformitate — NIS2 impune organizațiilor să-și cunoască și să-și securizeze întreaga suprafață digitală, inclusiv subdomeniile.

Cum verifici?

SecureCheck enumerează subdomeniile asociate domeniului tău (prin tehnici DNS pasive și active) și verifică:

  • Ce servicii rulează pe fiecare subdomeniu
  • Dacă există înregistrări CNAME care punctează spre servicii inactive (risc de takeover)
  • Versiunile de software expuse și vulnerabilitățile cunoscute

Tool-uri de verificare manuală:

  • crt.sh — subdomenii din certificate SSL emise public
  • DNSDumpster — hartă DNS a domeniului
  • dig: dig AXFR @ns1.domeniu.ro domeniu.ro (dacă transferul de zonă e permis — ceea ce e deja o problemă!)

Cum remediezi?

Inventarul subdomeniilor: Creează o listă cu toate subdomeniile active și scopul fiecăruia. Orice subdomeniu fără proprietar clar e un risc.

Șterge ce nu mai folosești: Elimină înregistrările DNS pentru subdomenii inactive. Un CNAME spre un serviciu cloud dezactivat trebuie eliminat imediat.

Pentru subdomain takeover: Verifică dacă serviciul cloud referit de CNAME mai e activ. Dacă nu, șterge înregistrarea DNS sau reactualizează-o.

Actualizează aplicațiile pe subdomenii: Instanțele de WordPress, Drupal sau alte CMS-uri pe subdomenii de test trebuie actualizate sau dezactivate.

Monitoring continuu: Activează alertele SecureCheck pentru a detecta imediat subdomenii noi sau modificări DNS suspecte.

Subdomenii fără HTTPS

Unul sau mai multe subdomenii ale tale (ex: blog.domeniu.ro, app.domeniu.ro) răspund pe HTTP neprotejat. Tot traficul pe aceste subdomenii — inclusiv credențiale, sesiuni și date personale — circulă în clar și poate fi interceptat.

Subdomenii uitite sau de test sunt frecvent vulnerabile, deoarece nu beneficiază de aceeași atenție ca domeniul principal.

Cum remediezi:

  1. Emite certificate SSL pentru fiecare subdomeniu sau folosește un certificat wildcard: certbot certonly -d *.domeniu.ro -d domeniu.ro
  2. Configurează redirect HTTP → HTTPS pentru fiecare subdomeniu (same config ca pentru domeniul principal)
  3. Adaugă HSTS cu includeSubDomains pe domeniul principal pentru a proteja automat toate subdomeniile

Verificare: curl -I http://subdomeniu.domeniu.ro — trebuie să returneze redirect 301 spre HTTPS