Gastamos US$ 20 para conseguir RCE e acidentalmente nos tornamos os administradores do .mobi
(labs.watchtowr.com)Resumo
-
Contexto da pesquisa
- A pesquisa começou por diversão, junto com colegas.
- Eles investigaram se vulnerabilidades de clientes WHOIS poderiam ser exploradas na prática.
- Descobriram que o servidor WHOIS do TLD .MOBI havia sido migrado e que o domínio antigo havia expirado.
- Compraram o domínio por US$ 20 e configuraram um servidor WHOIS.
-
Resultados da pesquisa
- Mais de 135.000 sistemas enviaram consultas ao servidor WHOIS.
- As principais origens das consultas incluíam entidades .GOV, .MIL, ferramentas de cibersegurança e empresas do setor.
- Autoridades certificadoras usavam o servidor WHOIS para verificar o proprietário do domínio.
- Por meio da GlobalSign, foi possível definir o e-mail do proprietário do domínio
microsoft.mobicomowhois@watchtowr.com. - Isso acabou neutralizando o processo da CA.
-
Cenário de ataque
- Para explorar vulnerabilidades em clientes WHOIS, eram necessárias as seguintes condições:
- ataque MiTM
- acesso ao servidor WHOIS
- configuração de referral WHOIS
- A equipe de pesquisa comprovou a viabilidade do ataque ao configurar um servidor WHOIS e receber consultas reais.
- Para explorar vulnerabilidades em clientes WHOIS, eram necessárias as seguintes condições:
-
Vulnerabilidades específicas
- phpWHOIS (CVE-2015-5243): os dados recebidos do servidor WHOIS eram executados pela função PHP
eval, causando RCE. - Fail2Ban (CVE-2021-32749): por não validar corretamente a saída do cliente WHOIS, surgia uma vulnerabilidade de injeção de comandos.
- phpWHOIS (CVE-2015-5243): os dados recebidos do servidor WHOIS eram executados pela função PHP
-
Impacto no mundo real
- Grande parte da infraestrutura da internet ainda referencia servidores WHOIS antigos.
- Grandes registradores de domínio, sites com funcionalidade WHOIS e ferramentas de cibersegurança foram afetados.
- Autoridades certificadoras TLS/SSL usavam dados WHOIS para verificar a propriedade de domínios.
-
Solução
- A equipe de pesquisa trabalhou com a ShadowServer para converter o domínio
dotmobiregistry.netem um sistema sinkhole. - Os resultados destacaram os problemas da infraestrutura legada e as fragilidades das autoridades certificadoras TLS/SSL.
- A equipe de pesquisa trabalhou com a ShadowServer para converter o domínio
Resumo do GN⁺
- Esta pesquisa comprovou a possibilidade de explorar, no mundo real, vulnerabilidades em clientes WHOIS.
- Ela mostrou que o processo de verificação de propriedade de domínio das autoridades certificadoras TLS/SSL pode ser facilmente neutralizado.
- Como muita infraestrutura da internet ainda referencia servidores WHOIS antigos, o risco de segurança é alto.
- Os resultados destacam os problemas da infraestrutura legada e as fragilidades das autoridades certificadoras TLS/SSL.
- Um projeto com funcionalidade semelhante é o Let's Encrypt.
1 comentários
Opiniões no Hacker News
Nunca se deve deixar um domínio expirar
Medo de a internet desaparecer
Dúvidas sobre ferramentas que fazem hardcode da lista de servidores WHOIS
dig _nicname._tcp.fr SRV +noall +answerRenovar domínios antigos é importante
O domínio dotmobiregistry.net foi redirecionado para o sistema de sinkhole da ShadowServer
A abordagem de acesso a computadores está fadada ao fracasso
A superfície de ataque obtida ao comprar um domínio expirado de servidor WHOIS é enorme
A verdadeira solução para WHOIS é o RDAP
Foi interessante ver os logs armazenados em um banco de dados
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lApesar dos esforços para resolver o problema, a situação piorou