Für 20 US-Dollar RCE erreicht und zufällig Admin von .mobi geworden
(labs.watchtowr.com)Zusammenfassung
-
Hintergrund der Untersuchung
- Die Untersuchung begann aus Spaß gemeinsam mit Kollegen.
- Es wurde erforscht, ob sich Schwachstellen in WHOIS-Clients in der Praxis ausnutzen lassen.
- Es wurde festgestellt, dass der WHOIS-Server der .MOBI-TLD umgezogen war und die frühere Domain abgelaufen war.
- Die Domain wurde für 20 US-Dollar gekauft und ein WHOIS-Server eingerichtet.
-
Ergebnisse der Untersuchung
- Mehr als 135.000 Systeme schickten Anfragen an den WHOIS-Server.
- Wichtige Quellen der Anfragen: .GOV-, .MIL-Entitäten, Cybersecurity-Tools und Unternehmen.
- Zertifizierungsstellen nutzten den WHOIS-Server zur Prüfung des Domaininhabers.
- Über GlobalSign konnte die Eigentümer-E-Mail der Domain
microsoft.mobiaufwhois@watchtowr.comgesetzt werden. - Dies führte dazu, dass der CA-Prozess ausgehebelt werden konnte.
-
Angriffsszenario
- Um Schwachstellen in WHOIS-Clients auszunutzen, sind die folgenden Bedingungen erforderlich:
- MiTM-Angriff
- Zugriff auf den WHOIS-Server
- Einrichtung eines WHOIS-Referrals
- Das Forschungsteam bewies die praktische Angreifbarkeit, indem es einen WHOIS-Server einrichtete und tatsächlich Anfragen empfing.
- Um Schwachstellen in WHOIS-Clients auszunutzen, sind die folgenden Bedingungen erforderlich:
-
Konkrete Schwachstellen
- phpWHOIS (CVE-2015-5243): Von einem WHOIS-Server empfangene Daten werden über die PHP-Funktion
evalausgeführt, wodurch RCE möglich ist. - Fail2Ban (CVE-2021-32749): Da die Ausgabe des WHOIS-Clients nicht korrekt validiert wurde, entstand eine Schwachstelle für Command Injection.
- phpWHOIS (CVE-2015-5243): Von einem WHOIS-Server empfangene Daten werden über die PHP-Funktion
-
Praktische Auswirkungen
- Viel Internet-Infrastruktur verweist weiterhin auf veraltete WHOIS-Server.
- Große Domain-Registrare, Websites mit WHOIS-Funktion und Cybersecurity-Tools sind betroffen.
- TLS/SSL-Zertifizierungsstellen verwenden WHOIS-Daten zur Verifizierung des Domaininhabers.
-
Gegenmaßnahmen
- Das Forschungsteam arbeitete mit ShadowServer zusammen, um die Domain
dotmobiregistry.netauf ein Sinkhole-System umzuleiten. - Die Ergebnisse unterstreichen die Probleme von Legacy-Infrastruktur und die Schwachstellen von TLS/SSL-Zertifizierungsstellen.
- Das Forschungsteam arbeitete mit ShadowServer zusammen, um die Domain
Zusammenfassung von GN⁺
- Diese Untersuchung belegt, dass sich Schwachstellen in WHOIS-Clients in der Praxis ausnutzen lassen.
- Sie zeigt, dass sich der Prozess zur Verifizierung des Domaininhabers bei TLS/SSL-Zertifizierungsstellen leicht aushebeln lässt.
- Da viel Internet-Infrastruktur weiterhin auf veraltete WHOIS-Server verweist, ist das Sicherheitsrisiko hoch.
- Die Ergebnisse unterstreichen die Probleme von Legacy-Infrastruktur und die Schwachstellen von TLS/SSL-Zertifizierungsstellen.
- Ein Projekt mit ähnlicher Funktion ist Let's Encrypt.
1 Kommentare
Hacker-News-Kommentare
Man sollte Domains niemals ablaufen lassen
Angst, dass das Internet verschwindet
Fragen zu Tools, die Listen von WHOIS-Servern hartkodieren
dig _nicname._tcp.fr SRV +noall +answerEs ist wichtig, alte Domains zu verlängern
Die Domain dotmobiregistry.net wird auf das Sinkhole-System von ShadowServer umgeleitet
Der Ansatz, den Computerzugang abzusichern, ist zum Scheitern verurteilt
Die Angriffsfläche, die man durch den Kauf einer abgelaufenen WHOIS-Server-Domain erhält, ist enorm
Die eigentliche Lösung für WHOIS ist RDAP
Es ist interessant, dass die Logs in einer Datenbank gespeichert wurden
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lTrotz der Bemühungen, das Problem zu lösen, hat sich die Lage verschlechtert