Los investigadores de ciberseguridad descubrieron recientemente una vulnerabilidad en Internet. La vulnerabilidad hizo posible rastrear los correos electrónicos de las personas, ejecutar código en servidores e incluso falsificar certificados HTTPS. De hecho, esta vulnerabilidad ha brindado a los investigadores tantas opciones que se dice que tiene “superpoderes”.
La vulnerabilidad es de naturaleza muy simple, donde una gran cantidad de servidores todavía hacen ping a un dominio caducado. El dominio en cuestión es dotmobiregistry.net, que anteriormente albergaba un servidor WHOIS .mobi.
Los servidores de WHOIS brindan información sobre los detalles de registro del nombre de dominio y la dirección IP. Es parte del protocolo WHOIS y se utiliza para consultar la base de datos que almacena información de propiedad y registro de nombres de dominio y recursos de red en Internet. .mobi, por otro lado, es un dominio de nivel superior (TLD) diseñado específicamente para sitios web a los que se puede acceder desde dispositivos móviles. Lanzado en 2006, está diseñado para garantizar que los sitios web alojados en este dominio estén optimizados para su visualización en dispositivos móviles.
Migración del servidor WHOIS
En algún momento, y nadie parece saber cuándo ni por qué, el servidor WHOIS se trasladó de whois.dotmobiregistry.net a whois.nic.mobi. Cuando Benjamin Harris, director ejecutivo y fundador de la empresa de seguridad watchTowr, descubrió esto, compró el dominio y lo utilizó para configurar un servidor WHOIS .mobi alternativo.
En los días siguientes, el doble de Harris recibió millones de consultas de cientos de miles de sistemas, incluidos registradores de dominios, gobiernos, universidades y más.
Esto le permite, por ejemplo, especificar quién obtiene un certificado TLS.
“Ahora que puedes emitir certificados TLS/SSL para dominios .mobi, en teoría podrías hacer todo tipo de cosas horribles, desde interceptar el tráfico hasta hacerse pasar por el servidor de destino”, dijo Harris en un artículo técnico. “En este punto, se acabó el juego para cualquier modelo de amenaza. Algunos pueden decir que no hemos 'probado' que podemos obtener el certificado, pero creo que esto va demasiado lejos. Entonces no importa. “
vía Ars Technica
