20ドルでRCEを達成し、偶然 .mobi の管理者になってしまった事件
(labs.watchtowr.com)要約
-
研究の背景
- この研究は同僚たちと一緒に、面白半分で始められた。
- WHOISクライアントの脆弱性が現実に悪用可能かどうかを調査した。
- .MOBI TLD の WHOIS サーバーが移転され、以前のドメインが期限切れになっていることを発見した。
- そのドメインを20ドルで購入し、WHOISサーバーを設定した。
-
研究結果
- 135,000以上のシステムが WHOIS サーバーにクエリを送信した。
- 主なクエリ元は .GOV、.MIL の組織、サイバーセキュリティツール、および企業だった。
- 認証局がドメイン所有者確認のために WHOIS サーバーを利用していた。
- GlobalSign を通じて、
microsoft.mobiドメインの所有者メールアドレスをwhois@watchtowr.comに設定できた。 - これは CA のプロセスを無力化する結果につながった。
-
攻撃シナリオ
- WHOISクライアントの脆弱性を悪用するには、次の条件が必要である:
- MiTM 攻撃
- WHOIS サーバーへのアクセス
- WHOIS リファラルの設定
- 研究チームは WHOIS サーバーを設定し、実際にクエリを受け取ることで攻撃可能性を実証した。
- WHOISクライアントの脆弱性を悪用するには、次の条件が必要である:
-
具体的な脆弱性
- phpWHOIS (CVE-2015-5243): WHOIS サーバーから受け取ったデータを PHP の
eval関数で実行し、RCE が発生。 - Fail2Ban (CVE-2021-32749): WHOIS クライアントの出力を適切に検証しないため、コマンドインジェクション脆弱性が発生。
- phpWHOIS (CVE-2015-5243): WHOIS サーバーから受け取ったデータを PHP の
-
現実的な影響
- 多くのインターネットインフラが古い WHOIS サーバーを参照している。
- 主要なドメインレジストラ、WHOIS 機能を提供するWebサイト、サイバーセキュリティツールなどが影響を受ける。
- TLS/SSL 認証局が WHOIS データを使ってドメイン所有者確認を行っている。
-
解決策
- 研究チームは ShadowServer と協力し、
dotmobiregistry.netドメインをシンクホールシステムへ切り替えた。 - 研究結果は、レガシーインフラの問題と TLS/SSL 認証局の脆弱性を浮き彫りにした。
- 研究チームは ShadowServer と協力し、
GN⁺のまとめ
- この研究は、WHOISクライアントの脆弱性が現実に悪用可能であることを実証した。
- TLS/SSL 認証局のドメイン所有者確認プロセスが容易に無力化され得ることを示した。
- 多くのインターネットインフラが古い WHOIS サーバーを参照しており、セキュリティリスクが大きい。
- 研究結果は、レガシーインフラの問題と TLS/SSL 認証局の脆弱性を強調している。
- 類似の機能を持つプロジェクトとして Let's Encrypt がある。
1件のコメント
Hacker Newsの意見
ドメインは絶対に失効させてはいけない
インターネットが消えてしまうのではないかと恐ろしい
WHOIS サーバーの一覧をハードコーディングするツールへの疑問
dig _nicname._tcp.fr SRV +noall +answer古いドメインを更新することは重要
dotmobiregistry.net ドメインが ShadowServer のシンクホールシステムへリダイレクトされている
コンピューターへのアクセスという考え方は失敗する運命にある
期限切れの WHOIS サーバードメインを購入して得られる攻撃対象領域は非常に大きい
WHOIS の真の解決策は RDAP
ログをデータベースに保存していたのが興味深い
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lコマンドの使用についての疑問問題を解決しようと努力したにもかかわらず、状況は悪化した