$20 में RCE हासिल करने के बाद गलती से .mobi एडमिन बन जाने की घटना
(labs.watchtowr.com)सारांश
-
शोध की पृष्ठभूमि
- यह शोध साथियों के साथ मज़े-मज़े में शुरू किया गया था।
- इसमें यह जाँचा गया कि क्या WHOIS client की कमजोरियों का वास्तविक दुनिया में दुरुपयोग किया जा सकता है।
- .MOBI TLD का WHOIS server माइग्रेट किया गया था, और पता चला कि पुराना domain expire हो चुका था।
- उस domain को $20 में खरीदकर WHOIS server सेट किया गया।
-
शोध के परिणाम
- 135,000 से अधिक systems ने WHOIS server को queries भेजीं।
- queries के प्रमुख स्रोत: .GOV, .MIL entities, cyber security tools और कंपनियाँ।
- certificate authorities domain owner verification के लिए WHOIS server का उपयोग करती थीं।
- GlobalSign के माध्यम से 'microsoft.mobi' domain के मालिक के email को 'whois@watchtowr.com' पर सेट किया जा सका।
- इसका परिणाम CA process को निष्प्रभावी करने के रूप में सामने आया।
-
हमले का परिदृश्य
- WHOIS client की कमजोरियों का दुरुपयोग करने के लिए निम्न शर्तें आवश्यक हैं:
- MiTM हमला
- WHOIS server तक पहुँच
- WHOIS referral सेटिंग
- शोध टीम ने WHOIS server सेट करके और वास्तविक queries प्राप्त करके हमले की व्यवहारिकता साबित की।
- WHOIS client की कमजोरियों का दुरुपयोग करने के लिए निम्न शर्तें आवश्यक हैं:
-
विशिष्ट कमजोरियाँ
- phpWHOIS (CVE-2015-5243): WHOIS server से प्राप्त data को PHP
evalfunction से execute किया गया, जिससे RCE हुआ। - Fail2Ban (CVE-2021-32749): WHOIS client के output को ठीक से validate न करने के कारण command injection की कमजोरी उत्पन्न हुई।
- phpWHOIS (CVE-2015-5243): WHOIS server से प्राप्त data को PHP
-
वास्तविक प्रभाव
- इंटरनेट इन्फ्रास्ट्रक्चर का बड़ा हिस्सा अब भी पुराने WHOIS servers को refer कर रहा है।
- प्रमुख domain registrars, WHOIS functionality वाली websites, cyber security tools आदि प्रभावित हुए।
- TLS/SSL certificate authorities WHOIS data का उपयोग domain owner verification के लिए कर रही थीं।
-
समाधान
- शोध टीम ने ShadowServer के साथ मिलकर
dotmobiregistry.netdomain को sinkhole system में बदल दिया। - इस शोध ने legacy infrastructure की समस्याओं और TLS/SSL certificate authorities की कमजोरियों को उजागर किया।
- शोध टीम ने ShadowServer के साथ मिलकर
GN⁺ की टिप्पणी
- यह शोध साबित करता है कि WHOIS client की कमजोरियों का वास्तविक दुनिया में दुरुपयोग संभव है।
- इससे यह भी सामने आता है कि TLS/SSL certificate authorities की domain owner verification process को आसानी से निष्प्रभावी किया जा सकता है।
- इंटरनेट इन्फ्रास्ट्रक्चर का बड़ा हिस्सा पुराने WHOIS servers को refer कर रहा है, जिससे सुरक्षा जोखिम बड़ा है।
- यह शोध legacy infrastructure की समस्याओं और TLS/SSL certificate authorities की कमजोरियों को रेखांकित करता है।
- समान कार्यक्षमता वाले प्रोजेक्ट्स में Let's Encrypt शामिल है।
1 टिप्पणियां
Hacker News टिप्पणियाँ
डोमेन को कभी एक्सपायर नहीं होने देना चाहिए
इंटरनेट के गायब हो जाने का डर
WHOIS सर्वर सूची को हार्डकोड करने वाले टूल्स पर सवाल
dig _nicname._tcp.fr SRV +noall +answerपुराने डोमेनों को रिन्यू करना महत्वपूर्ण है
dotmobiregistry.net डोमेन ShadowServer के sinkhole सिस्टम पर रीडायरेक्ट हो रहा है
कंप्यूटर एक्सेस का तरीका असफल होने के लिए तय है
एक्सपायर हो चुके WHOIS सर्वर डोमेन को खरीदकर मिलने वाला attack surface बहुत बड़ा है
WHOIS का असली समाधान RDAP है
लॉग्स को डेटाबेस में स्टोर करना दिलचस्प लगा
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lकमांड के उपयोग पर सवालसमस्या को ठीक करने की कोशिशों के बावजूद स्थिति और खराब हो गई