Dépenser 20 $ pour obtenir une RCE et devenir par hasard administrateurs de .mobi
(labs.watchtowr.com)Résumé
-
Contexte de la recherche
- L’étude a commencé pour le fun avec des collègues.
- Les chercheurs ont étudié s’il était possible d’exploiter en conditions réelles des vulnérabilités de clients WHOIS.
- Ils ont découvert que le serveur WHOIS du TLD .MOBI avait été migré et que l’ancien domaine avait expiré.
- Ils ont acheté le domaine pour 20 $ et configuré un serveur WHOIS.
-
Résultats de la recherche
- Plus de 135 000 systèmes ont envoyé des requêtes au serveur WHOIS.
- Principales sources des requêtes : entités en .GOV et .MIL, outils et entreprises de cybersécurité.
- Des autorités de certification utilisaient le serveur WHOIS pour vérifier les propriétaires de domaines.
- Via GlobalSign, il a été possible de définir l’e-mail du propriétaire du domaine
microsoft.mobisurwhois@watchtowr.com. - Cela a eu pour effet de neutraliser le processus des CA.
-
Scénario d’attaque
- Pour exploiter les vulnérabilités d’un client WHOIS, les conditions suivantes sont nécessaires :
- attaque MiTM
- accès au serveur WHOIS
- configuration d’une redirection WHOIS
- L’équipe de recherche a démontré la faisabilité de l’attaque en configurant un serveur WHOIS et en recevant réellement des requêtes.
- Pour exploiter les vulnérabilités d’un client WHOIS, les conditions suivantes sont nécessaires :
-
Vulnérabilités concrètes
- phpWHOIS (CVE-2015-5243) : exécution de code à distance via l’exécution par la fonction PHP
evaldes données reçues depuis le serveur WHOIS. - Fail2Ban (CVE-2021-32749) : vulnérabilité d’injection de commandes due à une validation insuffisante de la sortie du client WHOIS.
- phpWHOIS (CVE-2015-5243) : exécution de code à distance via l’exécution par la fonction PHP
-
Impact réel
- Une grande partie de l’infrastructure Internet référence encore d’anciens serveurs WHOIS.
- De grands registrars, des sites web proposant des fonctions WHOIS et des outils de cybersécurité sont concernés.
- Des autorités de certification TLS/SSL utilisaient des données WHOIS pour vérifier la propriété des domaines.
-
Correctif
- L’équipe de recherche a travaillé avec ShadowServer pour convertir le domaine
dotmobiregistry.neten système de sinkhole. - Les résultats soulignent les problèmes des infrastructures legacy et les faiblesses des autorités de certification TLS/SSL.
- L’équipe de recherche a travaillé avec ShadowServer pour convertir le domaine
Le résumé de GN⁺
- Cette recherche prouve qu’il est possible d’exploiter en conditions réelles des vulnérabilités de clients WHOIS.
- Elle montre aussi que le processus de vérification de propriété de domaine des autorités de certification TLS/SSL peut être neutralisé très facilement.
- De nombreuses infrastructures Internet continuent de référencer d’anciens serveurs WHOIS, ce qui crée un risque de sécurité important.
- Ces résultats mettent en évidence les problèmes des infrastructures legacy et les vulnérabilités des autorités de certification TLS/SSL.
- Un projet aux fonctionnalités similaires est Let's Encrypt.
1 commentaires
Avis Hacker News
Il ne faut jamais laisser expirer un domaine
Il y a une peur que l’Internet puisse disparaître
Des interrogations sur les outils qui codent en dur les listes de serveurs WHOIS
dig _nicname._tcp.fr SRV +noall +answerRenouveler les anciens domaines est important
Le domaine dotmobiregistry.net est redirigé vers le système de sinkhole de ShadowServer
L’approche de la sécurité informatique est vouée à l’échec
La surface d’attaque obtenue en achetant un domaine de serveur WHOIS expiré est énorme
La vraie solution à WHOIS, c’est RDAP
Il est intéressant que les logs aient été stockés dans une base de données
sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -lMalgré les efforts pour résoudre le problème, la situation s’est aggravée