The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Попытка получения TLS-сертификатов для чужих доменов mobi, используя просроченный домен с WHOIS-сервисом

11.09.2024 22:33

Исследователи из компании watchTowr Labs опубликовали результаты эксперимента с захватом устаревшего WHOIS-сервиса регистратора доменной зоны ".MOBI". Поводом для исследования послужило то, что регистратор поменял адрес WHOIS-сервиса, переместив его с домена whois.dotmobiregistry.net на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации.

Исследователи потратили 20 долларов и купили этот домен, после чего на своём сервере запустили собственный фиктивный WHOIS-сервис whois.dotmobiregistry.net. Удивление вызвало то, что многие системы не переключились на новый хост whois.nic.mobi и продолжали использовать старое имя. C 30 августа по 4 сентября этого года было зафиксировано 2.5 млн запросов по старому имени, отправленных с более чем 135 тысяч уникальных систем.

Среди отправителей запросов присутствовали почтовые серверы государственных и военных организаций, проверявшие фигурирующие в email домены через WHOIS, специализирующиеся на безопасности компании и платформы обеспечения безопасности (VirusTotal, Group-IB), а также удостоверяющие центры, сервисы проверки доменов, SEO-сервисы и регистраторы доменов (например, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io и webchart.org).

Возможность возвращать любые данные в ответ на обращение к старому WHOIS-сервису доменной зоны ".MOBI" могла быть использована для организации атак на отправителей запросов. Предложенный первый вариант атаки основывается на предположении, что если кто-то продолжает отправлять запросы к давно заменённому сервису, то вероятно он делает это с использованием устаревшего инструментария, содержащего уязвимости. Например, в phpWHOIS в 2015 году была выявлена уязвимость CVE-2015-5243, позволяющая добиться выполнения кода атакующего при разборе специально оформленных данных, возвращаемых сервером WHOIS.

Из связанных с WHOIS уязвимостей также упоминается выявленная в 2021 году уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить код при возвращении некорректных данных WHOIS-сервисом, используемым в процессе формирования отчёта о блокировке при использовании обработчика mail-whois (Fail2Ban без экранирования операции "~!" передавал команде mail результат обращения к WHOIS-серверу, но запрос формировался для проверки IP-адреса, а не домена, т.е. уязвимость не применима в ситуации с ".mobi").

Второй вариант атаки основан на том, что некоторые удостоверяющие центры предоставляют возможность верификации владения доменом через email, указанный в базе регистратора домена, доступной через протокол WHOIS. Оказалось, что несколько удостоверяющих центров с поддержкой такого метода проверки продолжают использовать старый WHOIS-сервер для доменной зоны ".MOBI".

Таким образом, получив контроль над именем whois.dotmobiregistry.net атакующие могут вернуть свои данные, выполнить подтверждение и получить TLS-сертификат для любого домена в зоне ".MOBI". Например, в ходе эксперимента исследователи запросили у регистратора GlobalSign TLS-сертификат для домена microsoft.mobi и возвращённый фиктивным WHOIS-сервисом email "whois@watchTowr.com" был показан в интерфейсе как доступный для отправки кода подтверждения владения доменом.



  1. Главная ссылка к новости (https://labs.watchtowr.com/we-...)
  2. OpenNews: NS-сервера домена .top прекратили обслуживание запросов валидации Let's Encrypt
  3. OpenNews: Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC
  4. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC
  5. OpenNews: Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ
  6. OpenNews: Уязвимость в EPP-серверах позволяла получить контроль над 19 доменами первого уровня
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61849-domain
Ключевые слова: domain
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, timur.davletshin (ok), 23:06, 11/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    За попытку конечно "пять", но ICANN планирует отключить whois с января 2025 года с заменой на RDAP. Было бы интереснее, если бы начали "исследовать" возможность манипуляции новым протоколом.
     
     
  • 2.2, Аноним (2), 23:12, 11/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Что и чем можно попробовать RDAP?
     
  • 2.3, Аноним (3), 23:44, 11/09/2024 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Не отключить, а перевести в разряд "необязательно держать".

    > ICANN has set January 28, 2025, as the WHOIS Sunset Date, after which generic TLD (gTLD) registries will no longer be required to run WHOIS servers

     
     
  • 3.10, timur.davletshin (ok), 05:47, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Не отключить, а перевести в разряд "необязательно держать".

    Gopher тоже никто не запрещает, но многие пацаны о факте его существования уже даже не слышали. Если ICANN говорит, что фсё, то это значит, что фсё. Сверху отключат, а дальше всё по нисходящей. Сказано, всем пользовать RDAP.

     
  • 2.5, Аноним (5), 00:20, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Первый раз о таком слышу, в Debian даже утилиты командной строки нет.
     
  • 2.6, Виктор (??), 01:01, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Да не взлетел RDAP, что ожидаемо, несмотря на вбуханные деньги. А TLD без Whois есть и сейчас.
     
     
  • 3.8, timur.davletshin (ok), 05:37, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    https://github.com/openwrt/packages/blob/master/net/banip/files/README.md - "Auto-add entire subnets to the blocklist Set based on an additional RDAP request with the monitored suspicious IP".

    Даже современный fail2ban уже переехал на RDAP, а пацаны всё ещё не в курсе.

     
     
  • 4.11, Аноним (-), 06:45, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    > Даже современный fail2ban уже переехал на RDAP, а пацаны всё ещё не в курсе.

    А, это там CVE с ремотным выполнением кода был? :)

     
     
  • 5.13, timur.davletshin (ok), 06:49, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > А, это там CVE с ремотным выполнением кода был? :)

    Лишь бы чушь какую-то придумать.

     
     
  • 6.21, Аноним (21), 16:45, 12/09/2024 Скрыто ботом-модератором     [к модератору]
    		• +1 +/
     
     
  • 7.30, timur.davletshin (ok), 07:09, 13/09/2024 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 4.33, Аноним (33), 11:55, 14/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    >а пацаны всё ещё не в курсе.

    не доводили нам в части нас касающейся

     

  • 1.4, Аноним (4), 23:47, 11/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Не совсем понятно почему тут приплели файлтубан.. он вроде как берёт ИП и во вхоисе ищет его, а не какие то домены (mobi  или еще какие). Ну тоесть у владельцев ИП вхоиз внезапно тоже может переехать, и тогда подобную атаку можно будет реализовать, но в данном случае это мимо кассы.
     
  • 1.7, Аноним (-), 02:31, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код
    > при возвращении некорректных данных WHOIS-сервисом

    Прикол, питонисты закатили мастеркласс для этих, с башем, которые DHCP root устраивали.

     
     
  • 2.9, timur.davletshin (ok), 05:42, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    >> уязвимость CVE-2021-32749 в пакете Fail2Ban, позволяющая выполнить внешний код
    >> при возвращении некорректных данных WHOIS-сервисом

    Вот поэтому и JSON в RDAP.

     

  • 1.15, Аноним (15), 12:21, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >на новый хост whois.nic.mobi. При этом домен dotmobiregistry.net перестал использоваться и в декабре 2023 года был освобождён и стал доступен для регистрации.

    Это лишь говорит о "профессионализме" этих специалистов.
    Дропнуть поддержку своих клиентов (а у них есть\были клиенты, которые заказывали через них доменные имена!) на уровне "кошка бросила котят, пусть е@...." это надо постараться.

     
  • 1.16, Соль земли (?), 13:55, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    > Удивление вызвало то, что многие системы не переключились на новый хост whois.nic.mobi и продолжали использовать старое имя.

    Учёные в шоке. Как такое возможно? Наука бессильна.

     
     
  • 2.22, YetAnotherOnanym (ok), 19:37, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А ты лично следишь за изменениями имён whois-сервисов всех оегистраторов, да?
    То, что админы проспали момент, когда в логах посыпались ошибки о недоступности whois.dotmobiregistry.net, их, конечно, не красит, но с другой стороны, учинять расследование, почему чужой сайт не отвечает - данунах, в своём хозяйстве забот полно.
    Главный ганд*н здесь - это регистратор. В таких случаях приличные люди рассылают уведомления, причём не в личный кабинет своим клиентам, а в режиме "Всем! Всем! Всем!", чтобы оно по всем новостям и рассылкам прокатилось, и все, у кого в хозяйстве что-то на whois завязано, успели поменять свои настройки.
     
     
  • 3.36, Аноним (-), 04:17, 15/09/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Тут интересный выбор - деньги или безопасность? Вроде кому-то и безопасность нужна, но за поддержку этого нужно платить. И в статье четко написано что в первую очередь это нужно компаниям использующих сервис. А кто за безопасность отвечает? Вот вы говорите регистратор, но нужно то компаниям. Хотя разгребать проблемы может совсем кто-то другой кто отвечает именно за безопасность, но по всей видимости не имеет возможности управления в частных компаниях. Или заинтересованы лица которым эхо некорректного сервиса грузит канал. И вроде всем нужно, но виноват регистратор потому что другие делали по другому.
     

  • 1.17, aaaaa (?), 15:30, 12/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    > платформы обеспечения безопасности (..., Group-IB)

    все что нужно знать о качестве Ыкспертизы ... 🤣

     
     
  • 2.18, Аноним (18), 15:53, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Открою секрет. Вся эта тусовка кормится страхом пользователей о мнимых хакерах.
    А по сути 90% процентов всех взломов учеток происходит через социальную инженерию.
     
     
  • 3.20, Аноним (21), 16:44, 12/09/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Т.е. ты вот так просто и открыто заявляешь что Раст не нужен? Жди святая инквизиция за тобой уже выехала.
     

  • 1.29, Аноним (-), 03:44, 13/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Домен .mobi является первым доменом верхнего уровня посвященный интернету на мобильных устройствах.
    А также все что связано с мобильными устройствами. Домен .mobi является важным звеном между мобильными операторами, интернет услугами и пользователями, которые используют свои мобильные устройства для коммуникации в сети интернет. Домен .mobi может быть зарегистрирован любой компанией или частным лицом.

    Честно - абсолютно ненужный домен. Разделение по странам - вполне нормальная была идея, единственно локализация - ru должно быть в америке, в англии, но наоборот должно быть на других языках в других странах - сш и вб, а вот mobi это где-то в австралии, британии, штатах, но не в России (мобила или мобильный) или Китае(流动电话). Но так как очевидно что старые устройства вполне используются да и ещё особыми людьми описанными в статье, то могли бы и старый домен бесплатно владельцу оставить. А теперь жалуются что киберинциденты теперь дорого - ИБ специалистам тоже же за это придётся платить, да и неустойки у невнимательных компаний появятся. Старые устройства перестанут частично работать.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру