Cómo lograron RCE con $20 y terminaron convirtiéndose accidentalmente en administradores de .mobi
(labs.watchtowr.com)Resumen
-
Contexto de la investigación
- La investigación comenzó por diversión junto con colegas.
- Estudiaron si era posible explotar en la práctica vulnerabilidades de clientes WHOIS.
- Descubrieron que el servidor WHOIS del TLD .MOBI había sido migrado y que el dominio anterior había expirado.
- Compraron el dominio por $20 y configuraron un servidor WHOIS.
-
Resultados de la investigación
- Más de 135,000 sistemas enviaron consultas al servidor WHOIS.
- Principales fuentes de consultas: entidades .GOV, .MIL, herramientas y empresas de ciberseguridad.
- Autoridades certificadoras usaban el servidor WHOIS para verificar la propiedad del dominio.
- A través de GlobalSign, pudieron establecer el correo del propietario del dominio
microsoft.mobicomowhois@watchtowr.com. - Esto terminó anulando el proceso de la CA.
-
Escenario de ataque
- Para explotar vulnerabilidades de clientes WHOIS, se requieren las siguientes condiciones:
- Ataque MiTM
- Acceso al servidor WHOIS
- Configuración de referencia WHOIS
- El equipo de investigación demostró la viabilidad del ataque al configurar un servidor WHOIS y recibir consultas reales.
- Para explotar vulnerabilidades de clientes WHOIS, se requieren las siguientes condiciones:
-
Vulnerabilidades específicas
- phpWHOIS (CVE-2015-5243): los datos recibidos desde el servidor WHOIS se ejecutan con la función PHP
eval, provocando RCE. - Fail2Ban (CVE-2021-32749): al no validar correctamente la salida del cliente WHOIS, se produce una vulnerabilidad de inyección de comandos.
- phpWHOIS (CVE-2015-5243): los datos recibidos desde el servidor WHOIS se ejecutan con la función PHP
-
Impacto en el mundo real
- Gran parte de la infraestructura de Internet sigue haciendo referencia a servidores WHOIS antiguos.
- Se ven afectados grandes registradores de dominios, sitios web con funciones WHOIS y herramientas de ciberseguridad.
- Autoridades certificadoras TLS/SSL usan datos WHOIS para verificar la propiedad de dominios.
-
Solución
- El equipo de investigación colaboró con ShadowServer para convertir el dominio
dotmobiregistry.neten un sistema sinkhole. - Los resultados destacan los problemas de la infraestructura heredada y las debilidades de las autoridades certificadoras TLS/SSL.
- El equipo de investigación colaboró con ShadowServer para convertir el dominio
Resumen de GN⁺
- Esta investigación demuestra que es posible explotar en la práctica vulnerabilidades de clientes WHOIS.
- Muestra que el proceso de verificación de propiedad de dominio de las autoridades certificadoras TLS/SSL puede anularse con facilidad.
- Como mucha infraestructura de Internet sigue apuntando a servidores WHOIS antiguos, el riesgo de seguridad es alto.
- Los resultados subrayan los problemas de la infraestructura heredada y las debilidades de las autoridades certificadoras TLS/SSL.
- Un proyecto con funciones similares es Let's Encrypt.
1 comentarios
Opiniones en Hacker News
Nunca se debe dejar que un dominio expire
Da miedo pensar que Internet pueda desaparecer
Dudas sobre las herramientas que tienen codificadas listas de servidores WHOIS
dig _nicname._tcp.fr SRV +noall +answerEs importante renovar los dominios antiguos
El dominio dotmobiregistry.net redirige al sistema de sinkhole de ShadowServer
El enfoque de acceso informático está condenado al fracaso
La superficie de ataque que se obtiene al comprar un dominio expirado de un servidor WHOIS es enorme
La verdadera solución para WHOIS es RDAP
Es interesante que hayan guardado los logs en una base de datos
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lA pesar de los esfuerzos por resolver el problema, la situación empeoró