Chi 20 USD để đạt được RCE rồi tình cờ trở thành quản trị viên .mobi
(labs.watchtowr.com)Tóm tắt
-
Bối cảnh nghiên cứu
- Nghiên cứu được bắt đầu cho vui cùng các đồng nghiệp.
- Nhóm nghiên cứu xem liệu có thể khai thác lỗ hổng của các WHOIS client trong thực tế hay không.
- Họ phát hiện máy chủ WHOIS của TLD .MOBI đã được chuyển đi, còn tên miền cũ thì đã hết hạn.
- Họ mua tên miền đó với giá 20 USD và thiết lập máy chủ WHOIS.
-
Kết quả nghiên cứu
- Hơn 135.000 hệ thống đã gửi truy vấn tới máy chủ WHOIS.
- Nguồn truy vấn chính: các thực thể .GOV, .MIL, cùng các công cụ và công ty an ninh mạng.
- Các tổ chức cấp chứng chỉ sử dụng máy chủ WHOIS để xác minh chủ sở hữu tên miền.
- Thông qua GlobalSign, họ có thể đặt email chủ sở hữu của tên miền
microsoft.mobithànhwhois@watchtowr.com. - Điều này dẫn tới việc vô hiệu hóa quy trình của CA.
-
Kịch bản tấn công
- Để khai thác lỗ hổng của WHOIS client, cần có các điều kiện sau:
- Tấn công MiTM
- Quyền truy cập máy chủ WHOIS
- Thiết lập WHOIS referral
- Nhóm nghiên cứu đã chứng minh khả năng tấn công bằng cách tự thiết lập máy chủ WHOIS và thực sự nhận được truy vấn.
- Để khai thác lỗ hổng của WHOIS client, cần có các điều kiện sau:
-
Các lỗ hổng cụ thể
- phpWHOIS (CVE-2015-5243): Dữ liệu nhận từ máy chủ WHOIS được thực thi bằng hàm PHP
eval, dẫn tới RCE. - Fail2Ban (CVE-2021-32749): Không kiểm tra đúng đầu ra của WHOIS client, dẫn tới lỗ hổng chèn lệnh.
- phpWHOIS (CVE-2015-5243): Dữ liệu nhận từ máy chủ WHOIS được thực thi bằng hàm PHP
-
Tác động thực tế
- Nhiều hạ tầng Internet vẫn đang tham chiếu tới các máy chủ WHOIS cũ.
- Các nhà đăng ký tên miền lớn, các website có tính năng WHOIS, cùng các công cụ an ninh mạng đều bị ảnh hưởng.
- Các tổ chức cấp chứng chỉ TLS/SSL sử dụng dữ liệu WHOIS để xác minh chủ sở hữu tên miền.
-
Giải pháp
- Nhóm nghiên cứu đã hợp tác với ShadowServer để chuyển tên miền
dotmobiregistry.netsang hệ thống sinkhole. - Kết quả nghiên cứu nhấn mạnh các vấn đề của hạ tầng legacy và những điểm yếu của các tổ chức cấp chứng chỉ TLS/SSL.
- Nhóm nghiên cứu đã hợp tác với ShadowServer để chuyển tên miền
Tóm tắt của GN⁺
- Nghiên cứu này chứng minh khả năng khai thác lỗ hổng của WHOIS client trong thực tế.
- Nó cho thấy quy trình xác minh quyền sở hữu tên miền của các tổ chức cấp chứng chỉ TLS/SSL có thể dễ dàng bị vô hiệu hóa.
- Nhiều hạ tầng Internet vẫn đang tham chiếu tới các máy chủ WHOIS cũ, tạo ra rủi ro bảo mật lớn.
- Kết quả nghiên cứu nhấn mạnh các vấn đề của hạ tầng legacy và những điểm yếu của các tổ chức cấp chứng chỉ TLS/SSL.
- Một dự án có chức năng tương tự là Let's Encrypt.
1 bình luận
Ý kiến trên Hacker News
Không bao giờ nên để tên miền hết hạn
Lo ngại rằng internet có thể biến mất
Thắc mắc về các công cụ hardcode danh sách máy chủ WHOIS
dig _nicname._tcp.fr SRV +noall +answerViệc gia hạn các tên miền cũ là rất quan trọng
Tên miền dotmobiregistry.net được chuyển hướng tới hệ thống sinkhole của ShadowServer
Cách tiếp cận hiện tại với bảo mật máy tính vốn dĩ sẽ thất bại
Bề mặt tấn công có được khi mua một tên miền máy chủ WHOIS đã hết hạn là cực kỳ lớn
Giải pháp thực sự cho WHOIS là RDAP
Việc lưu log vào cơ sở dữ liệu khá thú vị
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lDù đã nỗ lực giải quyết vấn đề, tình hình lại trở nên tệ hơn