本文來自微信公眾號“GoUpSec”。
近日,網(wǎng)絡(luò)安全公司watchTowr創(chuàng)始人本杰明·哈里斯撰文透露他僅花了幾分鐘時間就成功生成偽造HTTPS證書、能夠追蹤電子郵件活動,甚至還可以在全球成千上萬臺服務(wù)器上執(zhí)行任意代碼。
僅花20美元即可控制全球海量服務(wù)器
哈里斯是在花費20美元購買過期域名dotmobiregistry.net時意外發(fā)現(xiàn)了這個驚天漏洞。
該域名曾是用于管理.mobi頂級域名的WHOIS服務(wù)器,然而,.mobi的域名管理員不知何時將服務(wù)器遷移到新網(wǎng)址whois.nic.mobi,卻未通知任何人,全球大量服務(wù)器仍然引用舊域名。
哈里斯在購買并重新啟用該域名后,驚訝地發(fā)現(xiàn),短短數(shù)小時內(nèi),他的服務(wù)器就接收到來自超過7.6萬個獨立IP地址的查詢請求。更令人震驚的是,在接下來的五天里,他的服務(wù)器收到了約250萬次查詢請求,來自全球的政府機構(gòu)、域名注冊商、安全工具提供商和證書頒發(fā)機構(gòu)等。
WHOIS系統(tǒng)自互聯(lián)網(wǎng)早期以來就一直在域名注冊和管理中扮演著關(guān)鍵角色。然而,隨著時間的推移,許多系統(tǒng)依舊信任舊的WHOIS服務(wù)器,未能及時更新其記錄。這意味著,當(dāng)哈里斯接管這個過期域名時,他不僅能夠攔截對.mobi域名的所有查詢,還能通過偽造的WHOIS信息操控證書頒發(fā)流程。例如,哈里斯嘗試為“microsoft.mobi”生成證書請求,并順利收到了證書頒發(fā)機構(gòu)GlobalSign發(fā)來的驗證郵件。
雖然出于道德原因,哈里斯并沒有進一步生成偽造證書,但他指出,這一漏洞意味著攻擊者完全可以利用偽造的HTTPS證書攔截網(wǎng)絡(luò)流量或冒充目標(biāo)服務(wù)器。這對于依賴HTTPS協(xié)議保護敏感數(shù)據(jù)的網(wǎng)站來說,無異于“游戲結(jié)束”。
WHOIS為何如此“危險”?
自互聯(lián)網(wǎng)治理初期(當(dāng)時還被稱為ARPANET)以來,WHOIS就發(fā)揮著關(guān)鍵作用。1974年,增強研究中心的信息科學(xué)家Elizabeth Feinler成為NIC(網(wǎng)絡(luò)信息中心項目的簡稱)的首席研究員。在Feinler的監(jiān)督下,NIC開發(fā)了頂級域名系統(tǒng)和官方主機表,并發(fā)布了ARPANET目錄,該目錄充當(dāng)了所有網(wǎng)絡(luò)用戶的電話號碼和電子郵件地址的目錄。最終,該目錄演變?yōu)閃HOIS系統(tǒng),這是一個基于查詢的服務(wù)器,提供所有互聯(lián)網(wǎng)主機名及其注冊實體的完整列表。
盡管WHOIS看起來已經(jīng)過時,但它如今仍然是具有重大影響力的重要資源。起訴版權(quán)或誹謗的律師會使用它來確定域名或IP地址所有者。反垃圾郵件服務(wù)則依靠它來確定電子郵件服務(wù)器的真正所有者。此外,證書頒發(fā)機構(gòu)依靠它來確定域名的官方管理電子郵件地址。
廢棄WHOIS服務(wù)器域名一旦落入黑客,則會變成殺傷力巨大的流氓WHOIS服務(wù)器。其最危險的用途之一就是能夠指定電子郵件地址證書頒發(fā)機構(gòu)GlobalSign用來確定申請TLS證書的一方是否是該證書所適用域名的合法所有者。
與絕大多數(shù)競爭對手一樣,GlobalSign使用自動化流程。例如,針對example.com的申請將提示證書頒發(fā)機構(gòu)向該域名的權(quán)威WHOIS中列出的管理電子郵件地址發(fā)送電子郵件。如果另一端的一方點擊鏈接,證書將自動獲得批準(zhǔn)。
除了偽造證書外,哈里斯還發(fā)現(xiàn),許多政府機構(gòu)、企業(yè)和反垃圾郵件服務(wù)在接收到來自.mobi域名的電子郵件時,依然會向他的偽造服務(wù)器發(fā)送查詢請求。這意味著,他能夠通過長期追蹤這些查詢,間接推測出相關(guān)通信的發(fā)件人和收件人,潛在地獲取敏感信息。
此外,一些查詢流氓WHOIS服務(wù)器的安全服務(wù)和WHOIS客戶端本身存在漏洞,攻擊者可以利用這些漏洞在查詢設(shè)備上執(zhí)行惡意代碼。這使得本應(yīng)受信任的WHOIS服務(wù)器變成了潛在的攻擊源。
結(jié)論:信任是互聯(lián)網(wǎng)最可怕的安全債
哈里斯的安全測試揭示了一個更深層次的問題:互聯(lián)網(wǎng)的某些關(guān)鍵基礎(chǔ)設(shè)施依賴于過時且脆弱的域名管理系統(tǒng),容易被忽視或濫用。由于WHOIS服務(wù)器的命名和管理缺乏統(tǒng)一標(biāo)準(zhǔn),許多第三方服務(wù)仍然錯誤地將過期的dotmobiregistry.net視為.mobi域名的官方服務(wù)器。
這類問題不僅限于WHOIS服務(wù)器。哈里斯指出,類似的漏洞也存在于S3存儲桶等云基礎(chǔ)設(shè)施中,當(dāng)這些資源被廢棄時,仍有可能被其他人重新注冊并利用。
哈里斯的研究提醒我們,網(wǎng)絡(luò)世界中的信任鏈條往往比我們想象的更加脆弱,而“過期信任”和“隱式信任”可能會帶來無法預(yù)料的災(zāi)難性風(fēng)險。