
海外の研究者が「.mobi」ドメインの古い WHOIS サーバー ドメインである whois.dotmobiregistry.net が 2023 年 12 月に期限切れになっていた事を発見し、検証したところドメイン管理者になり「.mobi」ドメインを利用している135,000サイトからクエリを受信していました。
.mobi ドメインの脆弱性を悪用した攻撃の概要
研究者は「.mobi」ドメインの古い WHOIS サーバー ドメインである whois.dotmobiregistry.net が 2023 年 12 月に期限切れにになっていた事を発見したときに発生しました。
彼らはわずか 20 ドルですぐにドメインを登録し、古いサーバー アドレスをまだ使用している多くのシステムから見て、事実上 .mobiの TLD(トップレベルドメイン)の新しい「管理者」になりました。
研究者たちは、新しく取得したドメインに独自の WHOIS サーバーを設置した後、
GlobalSign と共同でこれを PoC し、「microsoft.mobi」の場合、GlobalSign が WHOIS サーバーから提供された応答を解析し、「whois@watchtowr.com」を信頼できる電子メール アドレスとして提示することを実証できました。
新たに取得したドメインに自分たちのWHOISサーバーを設置し、数日以内に 135,000 を超える固有のシステムがサーバーにクエリを送信していることに驚きました。
政府や軍の施設にも影響
これらにはクエリ送信には、政府や軍のメール サーバー、サイバー セキュリティ ツール、さらには TLS/SSL 証明書の発行を担当する証明機関 (CA) も含まれていました。
研究者らは、この脆弱性を悪用できれば、資金力のある国家レベルの攻撃者がさらに大きな被害を引き起こす可能性があると指摘した。
この事件では、政府機関、サイバーセキュリティ企業、大手テクノロジー企業など、多数の組織が依然として古い WHOIS サーバー情報に依存していることも明らかになりました。この広範な見落としは、重要なインターネット インフラストラクチャのメンテナンスと更新を改善する必要性を強調しています。
.mobiドメインウェブサイトをドメイン検証を不正に制御できる
最も危険な発見は、CA がウェブサイトの所有権を確認するために使用するドメイン検証プロセスを操作できる可能性がある事です。
WHOIS 応答を制御することで、microsoft.mobi などの知名度の高いドメインの確認メールを自分のアドレスに送信する機能を実証しました。
研究者は「事実上、私たちは .mobi TLD 全体の CA プロセスを不注意で弱体化させてしまった」と述べています。
この脆弱性により、悪意のある人物が不正な SSL 証明書を入手し、広範囲にわたる中間者攻撃を引き起こし、暗号化された通信のセキュリティを侵害する可能性がある。
研究者らは、大手認証局 GlobalSign でこの理論をテストし、microsoft.mobi の確認メールを自分のアドレスに送信してもらうことに成功した。
研究者らは、不正な証明書を取得していないことを強調した。不正な証明書を取得していたら、重大なセキュリティ インシデントが発生していたはずだからだ。
この事件では、政府機関、サイバーセキュリティ企業、大手テクノロジー企業など、多数の組織が依然として古い WHOIS サーバー情報に依存していることも明らかになりました。
この広範な見落としは、重要なインターネット インフラストラクチャのメンテナンスと更新を改善する必要性を強調しています。
研究者の調査結果を受けて、英国の国立サイバーセキュリティセンター (NCSC) と
ShadowServer Foundation は、この問題を軽減するための措置を講じました。侵害されたドメインは、.mobi ドメインの正当な WHOIS 応答をプロキシする システムにリダイレクトされました。
参照
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI