他们的发现凸显了在 Internet 上建立信任的一些机制的脆弱性。
安全研究人员能够以仅 20 美元的价格控制大部分 Internet 基础设施,这让人们的注意力集中在组织和用户每天依赖的信任和网络安全机制的脆弱性上。
这个令人不安的事件始于 watchTowr 的研究人员在最近于拉斯维加斯举行的 Black Hat USA 会议上,一时兴起,寻找 WHOIS 客户端中的远程代码执行漏洞。在四处寻找的过程中,研究人员发现 .mobi 顶级域 (TLD) 的 WHOIS 服务器(用于移动优化网站)几年前已从“whois.dotmobiregistry.net”迁移到“whois.nic.mobi”。更改后,原始域 (whois.dotmobiregistry.net) 的注册已于去年 12 月过期。
意外的发现
WHOIS 服务器就像 Internet 的公共电话簿,包含有关 IP 地址或网站所有者的信息以及许多其他相关信息。WHOIS 客户端是一种从 WHOIS 服务器查询和检索有关特定域名或 IP 地址的信息的工具。
一下子,watchTowr 的研究人员花了 20 美元以公司的名义注册了过期的 whois.dotmobiregistry.net,并在其后面贴上了 WHOIS 服务器,看看是否有任何 WHOIS 客户端会查询它。他们最初的假设是,在几年前迁移到新的 .mobi 权威 WHOIS 服务器 (whois.nic.mobi) 后,很少有 WHOIS 客户端仍然会接触已停用的服务器。
令他们惊讶和震惊的是,watchTowr 研究人员在短短几个小时内发现了超过 76,000 个唯一 IP 地址向他们的 WHOIS 服务器发送查询。在大约两天的时间里,这个数字激增到来自全球 135,000 个独特系统的超过 250 万次查询。
与他们的预期相反,在查询 watchTowr 的 WHOIS 服务器的人中,有主要的域名注册商和执行 WHOIS 功能的网站。查询 watchTowr 的 WHOIS 域的还有美国、以色列、巴基斯坦、印度、菲律宾的众多政府组织、瑞典的一个军事实体以及全球无数大学的邮件服务器。令人不安的是,即使是一些与安全相关的网站,包括 VirusTotal,也查询 watchTowr 的 WHOIS 服务器,就好像它是 .mobi TLD 的权威服务器一样。
如果 watchTowr 是一个不良行为者,他们很容易滥用自己作为 whois.dotmobiregistry.net 所有者的身份,向查询服务器的任何人提供恶意负载,或者被动监控电子邮件通信并可能造成其他混乱。
“如果落入坏人之手,拥有该域名可能会使攻击者能够'响应'查询并注入恶意负载以利用 WHOIS 客户端中的漏洞,”watchTowr 的首席执行官兼创始人本杰明·哈里斯 (Benjamin Harris) 在关于其公司发现的常见问题解答中表示。他说,从政府邮件服务器与 watchTowr 的 WHOIS 服务器联系的角度来看,“可以执行流量分析以被动观察和推断电子邮件通信”。
域验证的严重弱点
但比这更令人不安的是,watchTowr 发现多个证书颁发机构 (CA) — 包括为“microsoft.mobi 和”google.mobi 等域颁发 TLS/SSL 证书的机构 — 使用 watchTowr 的服务器进行域验证。
“事实证明,许多 TLS/SSL 机构将通过解析您的域(比如 watchTowr.mobi)的 WHOIS 数据并提取定义为'管理联系人'的电子邮件地址来验证域的所有权,”watchTowr 说。“这个过程是向该电子邮件地址发送一个验证链接。点击后,证书颁发机构就会确信您控制着您为其请求 TLS/SSL 证书的域,他们会很乐意为您颁发证书。
换句话说,watchTowr 可以向证书颁发机构 (CA) 提供自己的电子邮件地址以响应域所有权查询,并代表其他组织获取 TLS/SSL 证书。与预期相反,watchTowr 再次发现了多个知名 CA,包括 Trustico、Comodo、GlobalSign 和 Sectigo,它们使用 WHOIS 数据进行域验证。
“对于'microsoft.mobi',watchTowr 证明 CA GlobalSign 将解析其 WHOIS 服务器提供的响应,并将'whois@watchtowr.com'作为权威电子邮件地址呈现,”该安全供应商表示。“watchTowr 的发现有效地破坏了整个 .mobi TLD 的证书颁发机构流程,该流程多年来一直是民族国家公开的目标。” 研究人员写道,这项研究强调了互联网 TLS/SSL 重要加密流程和结构中的微不足道的漏洞,并说明了为什么在这个阶段对它们的信任是错误的。
Sectigo 的首席技术官 Nick France 表示,这个问题与 CA 被允许对域名的公共 WHOIS 记录使用管理电子邮件有关。“然而,研究人员发现 .mobi 注册机构过去曾更改过他们的 WHOIS 服务器,'旧'名称现在可以作为可注册域名使用——他们确实做到了,”France 说。
他说,只有当 CA 使用过时的 WHOIS 服务器列表时,这才是一个问题。在这种情况下,CA 的 WHOIS 查询可能会被定向到过时的服务器,并且拥有它的任何攻击者都可以发送任何输出作为响应,包括他们选择的电子邮件地址。“这会导致域验证过程失败,从而导致证书颁发错误。”
French 说,watchTowr 发现的问题凸显了为什么 CA 必须保持其系统更新,尤其是在域控制验证等关键流程方面。“WHOIS 是一个古老、不安全的系统,经常被研究人员和用户忽视,为发现像这样的漏洞做好了准备,”他指出。
他说,虽然它可能只影响 .mobi 等较小的 TLD,而不是 .com、.net 和 .gov,但它仍然表明域名验证过程中存在严重漏洞。
Sectigo 的首席体验官 Tim Callan 补充说,该事件如何凸显了更新有关域控制验证 (DCV) 的一些规则的必要性。“我们应该期待 Certification Authority Browser Forum 迅速采取行动,以填补这个特定的漏洞。”
与此同时,非营利性 Internet 监控实体 ShadowServer 已经沉没了 dotmobiregistry.net 域和 whois.dotmobiregisry.net 主机名,并将所有查询重定向到服务器负责 .mobi 域的合法 WHOIS。“如果您的代码/系统仍在使用过期的 http://whois.dotmobiregistry.net 对 .mobi TLD 进行 WHOIS 查询,请立即更新以使用正确的权威 WHOIS 服务器 http://whois.nic.mobi”ShadowServer 的首席执行官 Piotr Kijewski 在一封电子邮件中说。
信息来源:https://www.darkreading.com/cyber-risk/researchers-seize-internet-infrastructure-for-20
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局