WHOIS 서비스에서 만료된 도메인을 사용하여 외국 mobi 도메인에 대한 TLS 인증서를 얻으려는 시도

watchTowr Labs의 연구원들은 .MOBI 도메인 영역 등록 기관에서 오래된 WHOIS 서비스를 캡처하는 것과 관련된 실험 결과를 발표했습니다. 연구의 이유는 등록 기관이 WHOIS 서비스 주소를 도메인 whois.dotmobiregistry.net에서 새 호스트 whois.nic.mobi로 이동하여 변경했기 때문입니다. 동시에 dotmobiregistry.net 도메인은 사용이 중단되었으며 2023년 XNUMX월에 출시되어 등록이 가능해졌습니다.

연구원들은 20달러를 지출하고 이 도메인을 구입한 후 서버에서 가상의 WHOIS 서비스인 whois.dotmobiregistry.net을 시작했습니다. 놀라운 점은 많은 시스템이 새 호스트 whois.nic.mobi로 전환하지 않고 계속해서 이전 이름을 사용하고 있다는 것입니다. 올해 30월 4일부터 2.5월 135일까지 XNUMX개가 넘는 고유 시스템에서 이전 이름에 대한 요청이 XNUMX만 건 기록되었습니다.

요청을 보낸 사람들 중에는 우편 배달부도 있었습니다. 서버 이메일에 나타나는 도메인을 WHOIS를 통해 확인한 정부 및 군사 기관, 보안 회사 및 보안 플랫폼(VirusTotal, Group-IB), 인증 기관, 도메인 검증 서비스, SEO 서비스 및 도메인 등록 기관(예: domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, webchart.org) 등이 포함됩니다.

.MOBI 도메인 영역의 이전 WHOIS 서비스에 대한 요청에 대한 응답으로 데이터를 보내는 기능은 요청자에 대한 여러 유형의 공격을 개발하는 데 사용되었습니다. 첫 번째 공격은 누군가가 오랫동안 교체된 서비스에 계속해서 요청을 보내는 경우 취약점이 포함된 오래된 도구를 사용하여 그렇게 할 가능성이 높다는 가정에 기반을 두고 있었습니다.

예를 들어, 2015년에 phpWHOIS에서 CVE-2015-5243 취약점이 발견되었습니다. 이 취약점은 WHOIS 서버에서 반환된 특수 형식의 데이터를 구문 분석할 때 공격자의 코드를 실행할 수 있도록 허용합니다. 또 다른 예는 Fail2021Ban 패키지에서 2021년에 확인된 취약점 CVE-32749-2입니다. 이 취약점은 차단 경고를 생성하는 과정에서 사용된 WHOIS 서비스에서 잘못된 데이터가 반환될 때 외부 코드가 실행되도록 허용합니다(Fail2Ban은 호스트 관리자의 이메일을 확인했습니다). WHOIS를 통해 특수 문자를 적절히 이스케이프 처리하지 않고 명령 메일을 실행할 때 이를 지정합니다.

두 번째 공격은 일부 인증 기관이 WHOIS 프로토콜을 통해 액세스할 수 있는 도메인 등록 기관 데이터베이스에 지정된 이메일을 통해 도메인 소유권을 확인하는 기능을 제공한다는 사실에 기반합니다. 이 확인 방법을 지원하는 여러 인증 기관에서는 ".MOBI" 도메인 영역에 대해 기존 WHOIS 서버를 계속 사용하고 있는 것으로 나타났습니다.

이처럼 공격자는 whois.dotmobiregistry.net이라는 도메인 이름을 장악함으로써 데이터를 검색하고 검증을 수행하여 권한을 획득할 수 있습니다. TLS 인증서 ".MOBI 영역의 모든 도메인에 대해" 예를 들어, 실험 중에 연구원들은 GlobalSign 등록기관에 microsoft.mobi 도메인에 대한 TLS 인증서를 요청했고, 가상의 WHOIS 서비스에서 반환된 이메일 주소 "whois@watchTowr.com"이 도메인 소유권 확인 코드를 보낼 수 있는 주소로 인터페이스에 표시되었습니다.

출처 : opennet.ru