Вхід і реєстрація
Розробка · 12 вересня 2024, 11:35 129
DOU Community

Помилка з доменом WHOIS поставила під загрозу видачу TLS-сертифікатів .MOBI

Дослідників з компанії watchTowr Labs провели експеримент, метою якого було виявити вразливості у клієнтах WHOIS і способах обробки відповідей від WHOIS-серверів та привернути до них увагу без потреби в атаках типу MITM тощо.

У процесі дослідження було виявлено, що кілька років тому сервер WHOIS для доменної зони .MOBI був перенесений з whois.dotmobiregistry.net на whois.nic.mobi, і домен dotmobiregistry.net залишився незадіяним, поки не перестав використовуватися в грудні 2023 року.

Не гаючи часу, дослідники швидко зареєстрували домен dotmobiregistry.net, використавши кредитну картку.

Їхня гіпотеза полягала в тому, що цей старий домен WHOIS, ймовірно, використовувався лише застарілими інструментами WHOIS (такими як phpWHOIS, що має вразливість виконання віддаленого коду (RCE) з 2015 року, яка добре підходила для цілей дослідження).

30 серпня 2024 року вони розгорнули сервер WHOIS за адресою whois.dotmobiregistry.net, щоб перевірити, чи хтось ще буде звертатися до нього.

Результати виявилися вражаючими: понад 135 000 унікальних систем зверталися до цього сервера, і станом на 4 вересня 2024 року було зафіксовано 2,5 мільйона запитів. Серед запитів виявилися:

  • Поштові сервери державних (.GOV) і військових (.MIL) організацій, які, ймовірно, перевіряли домени, з яких отримували електронні листи.
  • Інструменти кібербезпеки та компанії (такі як VirusTotal, URLSCAN, Group-IB), які досі використовували цей сервер WHOIS.

1 вересня 2024 року дослідники виявили ще серйознішу проблему: кілька центрів сертифікації, які видають TLS/SSL-сертифікати для доменів, таких як ’google.mobi’ і ’microsoft.mobi’, використовували цей сервер WHOIS для визначення власників доменів і місць, куди повинні надсилатися дані для верифікації.

Під час перевірки через GlobalSign було продемонстровано, що для домену ’microsoft.mobi’ сервер WHOIS відображав адресу ’whois@watchtowr.com’ як авторитетну для підтвердження власності домену.

Таким чином, вони випадково підірвали процес видачі сертифікатів для всієї доменної зони .mobi. Цей процес є критично важливим для безпеки інтернет-комунікацій, і він уже неодноразово ставав ціллю для добре підготовлених державних хакерів.

Замість підсумку, дослідники watchTowr Labs нагадують: якщо вони це змогли, то це може зробити будь-хто.

Технічна стаття з усіма деталями — на сайті команди.

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Теми: .mobi, Security, whois
👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Олексій Хількевич 12.09.2024 18:46

Ну нащо скромно уникати називати лузерів

Серти GlobalSign не варті й ломаного цента тепер

Ще б прочитали власника домену на стіні за рогом

Жесть, DigiCert теж цим користується як валідним методом. Це просто фейспалм

Відповісти
Підтримати

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.