La compra de un dominio de servidor WHOIS heredado para el dominio de nivel superior (TLD) .mobi podría resultar en la emisión de innumerables certificados TLS/SSL fraudulentos a los atacantes, reveló watchTowr Labs en una publicación de blog el miércoles.
El propietario de un servidor WHOIS .mobi migró a whois(.)nic(.)mobi antes de diciembre de 2023 y luego compró un dominio whois(.)dotmobiregistry(.)net vencido por 20 dólares era un investigador de watchTowr, no un atacante.
En cuestión de días, los investigadores recibieron aproximadamente 2,5 millones de consultas de WHOIS al servidor fraudulento desde más de 135.000 sistemas únicos. Esto indica que muchas organizaciones no actualizan sus herramientas para reconocer los nuevos servidores .mobi WHOIS correctos.
Los atacantes maliciosos podrían aprovechar el acceso a dominios antiguos para diversos fines maliciosos, incluido el aprovechamiento de vulnerabilidades para lograr la ejecución remota de código (RCE) a través de registros WHOIS maliciosos que existen.
Pero el descubrimiento más sorprendente fue que varias autoridades certificadoras que apoyan la verificación de propiedad basada en WHOIS también omitieron el memorando sobre la migración de servidores .mobi a nuevos dominios, lo que hace posible que watchTowr o un atacante acceda a cualquier .mobi. Fue posible emitir innumerables fraudes. Certificados TLS/SLL que afirman ser propietarios de un dominio.
watchTowr se ha asociado con el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y la Fundación ShadowServer para garantizar que las consultas al dominio anterior ahora sean redirigidas a los servidores WHOIS legítimos. La investigación reveló fallas generalizadas en la implementación del protocolo WHOIS que podrían permitir que la infraestructura web abandonada se vea comprometida y cause daños a gran escala.
Gobiernos, empresas de ciberseguridad y autoridades de certificación consultan servidores WHOIS obsoletos
El alcance de los problemas revelados por la compra por parte de watchTowr del antiguo dominio WHOIS .mobi quedó revelado no sólo por el volumen de consultas que recibió la empresa, sino también por los tipos de organizaciones de las que el antiguo dominio recibía comunicaciones.
Los investigadores descubrieron que numerosos dominios .gov (gubernamentales) y .mil (militares) se comunican con servidores fraudulentos, así como con empresas de ciberseguridad, universidades (dominios .edu), registradores de dominios y autoridades de certificación TLS/SSL. Confirmé que se están comunicando. . Muchas de las solicitudes provienen de servidores de correo electrónico, presumiblemente pidiendo información sobre el dominio .mobi que recibió el correo electrónico.
watchTowr configuró sus servidores para responder a estas consultas con respuestas inocuas que incluían arte ASCII del logotipo de watchTowr y detalles de WHOIS falsos que afirmaban que watchTowr era el propietario de todos los dominios consultados.
Sin embargo, los atacantes pueden aprovechar estas comunicaciones para llevar a cabo ataques mediante respuestas maliciosas a consultas de WHOIS. Por ejemplo, un antiguo error crítico en la biblioteca phpWHOIS (rastreado como CVE-2015-5243) podría aprovecharse para ejecutar código PHP arbitrario a través de un registro WHOIS manipulado.
Aún más preocupante es el hecho de que varias autoridades de certificación TLS/SSL están consultando servidores WHOIS obsoletos para determinar la propiedad del dominio. Esto significa que un atacante puede solicitar un certificado para cualquier dominio .mobi y obtener un certificado válido como propietario de ese dominio.
Por lo tanto, un atacante puede hacerse pasar por una gran empresa obteniendo un certificado para un dominio como microsoft(.)mobi o google(.)mobi. Para demostrar la viabilidad de este escenario, los investigadores intentaron obtener un certificado para Microsoft(.)mobi de la autoridad certificadora GlobalSign y recibieron con éxito un correo electrónico de verificación de GlobalSign. Sin embargo, los investigadores no completaron la verificación, por lo que en realidad no se emitió ningún certificado fraudulento.
Una de las causas fundamentales de los problemas causados por la migración del servidor .mobi WHOIS es que muchas organizaciones no conocen las actualizaciones publicadas por la Autoridad de Números Asignados de Internet (IANA), que es la única fuente de verdad para saber dónde están estos servidores. El hecho es que codificamos las direcciones del servidor del TLD en la herramienta WHOIS, en lugar de hacer referencia constantemente a una lista.
El estudio de watchTowr es un ejemplo particularmente peligroso de los problemas causados por una infraestructura web descuidada. Otro ejemplo de este problema es la adquisición del dominio polyfill.io. Este dominio era parte del popular proyecto de código abierto Polyfill JS y luego fue comprado por actores maliciosos que propagaban malware a través de sitios que usaban Polyfill JS.
“Originalmente publiqué esta publicación de blog para compartir el proceso de hacer explotable lo inexplotable y para resaltar el estado de la infraestructura heredada y el creciente número de problemas relacionados con los dominios abandonados. “Sin embargo, sin darnos cuenta, hemos destacado una pequeña laguna que todavía existe en uno. de los procesos y estructuras criptográficos más importantes de Internet: las autoridades de certificación TLS/SSL”, concluyen los investigadores. “Nuestra investigación revela que se cree que la confianza que los gobiernos y autoridades de todo el mundo tienen en este proceso está fuera de lugar en esta etapa”.
https://packetstormsecurity.com/news/view/36337/Old-WHOIS-Domain-Could-Have-Issued-Fraudulent-TLS-SSL-Certs.html
