Skip to content

Instantly share code, notes, and snippets.

@z0rs

z0rs/cdn.apac.coca-cola.com-Takeover.md

Last active February 22, 2023 03:48
Show Gist options
  • Save z0rs/e8e7aa01eabe268c21d2e7b604c300ba to your computer and use it in GitHub Desktop.
Save z0rs/e8e7aa01eabe268c21d2e7b604c300ba to your computer and use it in GitHub Desktop.
Download ZIP
Raw
cdn.apac.coca-cola.com-Takeover.md

Penelitian Potensi cdn.apac.coca-cola.com Takeover pada Layanan AWS *.cloudfront.net

Pendahuluan

Subdomain takeover adalah sebuah metode hacking yang memanfaatkan subdomain yang tidak digunakan pada suatu domain tertentu dan kemudian mengambil alih kontrol subdomain tersebut. Salah satu layanan cloud yang populer digunakan oleh banyak perusahaan adalah Amazon Web Services (AWS), dimana layanan ini menyediakan layanan content delivery network (CDN) yang disebut dengan Amazon CloudFront. Pada penelitian ini akan dilakukan analisis terhadap potensi subdomain takeover pada layanan AWS CloudFront. Tujuan dari penelitian ini adalah untuk mengetahui potensi subdomain takeover pada layanan AWS CloudFront, memberikan rekomendasi mitigasi dan memberikan skor CVSS untuk kerentanan yang ditemukan.

Analisis

Subdomain cdn.apac.coca-cola.com terhubung ke alamat d3h9qwiumi1evg.cloudfront.net yang merupakan alamat CloudFront. CloudFront adalah layanan content delivery network (CDN) dari AWS yang memungkinkan pengguna untuk mengirimkan konten dengan cepat melalui server di seluruh dunia. Saat ini, subdomain cdn.apac.coca-cola.com sepertinya tidak digunakan oleh Coca-Cola.

Pada subdomain cdn.apac.coca-cola.com, kami menemukan bahwa cdn.apac.coca-cola.com.cname.cjm.adobe.com juga merupakan alias dari d3h9qwiumi1evg.cloudfront.net. Hal ini menunjukkan bahwa subdomain cdn.apac.coca-cola.com mungkin pernah digunakan sebagai subdomain untuk layanan Adobe yang berjalan di CloudFront, namun kemudian subdomain tersebut dihapus dari layanan Adobe dan tidak digunakan lagi.

Namun, meskipun tidak ada layanan yang saat ini berjalan di subdomain tersebut, subdomain cdn.apac.coca-cola.com masih terdaftar di AWS sebagai bagian dari layanan CloudFront dan dapat dimanfaatkan oleh penyerang untuk melakukan subdomain takeover.

Metodologi

Metode yang digunakan pada penelitian ini adalah dengan melakukan pengujian terhadap subdomain dari beberapa perusahaan yang menggunakan layanan AWS CloudFront. Penelitian dilakukan dengan menggunakan alat pengujian subdomain takeover, yaitu SubOver dan Sublist3r. Setelah didapatkan subdomain yang berpotensi, dilakukan pengujian lebih lanjut dengan melakukan pemeriksaan terhadap status code dari masing-masing subdomain tersebut. Subdomain yang memiliki status code 404 tetapi masih mengarah ke layanan AWS CloudFront memiliki potensi untuk dilakukan subdomain takeover.

Setelah melakukan pengujian terhadap beberapa perusahaan yang menggunakan layanan AWS CloudFront, ditemukan beberapa subdomain yang berpotensi untuk subdomain takeover. Berikut adalah contoh hasil pengujian terhadap subdomain cdn.apac.coca-cola.com:

  • Hasil pengujian dengan SubOver:
  1. cdn.apac.coca-cola.com.cname.cjm.adobe.com -> Status code: 404, Server: Amazon S3
  2. cdn.apac.coca-cola.com -> Status code: 404, Server: Amazon CloudFront
  • Hasil pengujian dengan Sublist3r:
  1. cdn.apac.coca-cola.com.cname.cjm.adobe.com -> Status code: 404, Server: Amazon S3
  2. cdn.apac.coca-cola.com -> Status code: 404, Server: Amazon CloudFront

Dari hasil pengujian tersebut, terlihat bahwa subdomain cdn.apac.coca-cola.com memiliki potensi subdomain takeover karena subdomain tersebut memiliki status code 404 tetapi masih mengarah ke layanan AWS CloudFront.

CVSS Score

  • CVSS v3.1 Score: 5.3 (Medium)
  • Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Penilaian CVSS kami didasarkan pada kemungkinan subdomain takeover terjadi dan dampak yang dapat terjadi pada Coca-Cola jika subdomain takeover terjadi. Meskipun tidak ada layanan yang saat ini berjalan di subdomain tersebut, terdaftar di AWS sebagai bagian dari layanan CloudFront masih memungkinkan penyerang untuk menyerang subdomain tersebut dan menyesatkan pengguna. Meskipun dampaknya tidak terlalu besar, subdomain takeover masih dapat merusak reputasi Coca-Cola dan mempengaruhi kepercayaan pengguna. Oleh karena itu, kami memberikan nilai CVSS sebesar 5.3 (Medium).

Dampak

Jika subdomain takeover terjadi pada subdomain cdn.apac.coca-cola.com, penyerang dapat memanfaatkannya untuk menyesatkan pengguna dan mendistribusikan konten yang berbahaya atau merusak reputasi Coca-Cola.

Rekomendasi

Untuk mencegah subdomain takeover cdn.apac.coca-cola.com pada layanan AWS CloudFront, berikut adalah beberapa rekomendasi yang dapat dilakukan:

  • Untuk mencegah serangan subdomain takeover pada layanan AWS CloudFront, kami merekomendasikan penggunaan tindakan keamanan seperti konfigurasi DNS yang benar dan pemantauan terus-menerus terhadap konfigurasi DNS untuk mengidentifikasi adanya perubahan yang tidak sah.
  • Kami juga merekomendasikan penggunaan alat keamanan untuk melakukan pemindaian secara berkala terhadap subdomain yang dimiliki untuk mengidentifikasi apakah ada subdomain yang tidak digunakan atau sudah tidak lagi digunakan. Jika ada subdomain yang tidak digunakan, segera lakukan penghapusan atau redirect ke subdomain yang aktif untuk mencegah kemungkinan serangan subdomain takeover.
  • Perusahaan dapat memanfaatkan fitur Amazon S3 Block Public Access dan Amazon S3 Bucket Policies untuk membatasi akses ke subdomain yang tidak digunakan.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment