.mobi ドメインを20ドルで取得しドメイン管理者になってしまう 破壊的な脆弱性が確認

セキュリティニュース

投稿日時: 更新日時:

.mobi ドメインを20ドルで取得しドメイン管理者になってしまう

海外の研究者が「.mobi」ドメインの古い WHOIS サーバー ドメインである whois.dotmobiregistry.net が 2023 年 12 月に期限切れになっていた事を発見し、検証したところドメイン管理者になり「.mobi」ドメインを利用している135,000サイトからクエリを受信していました。

.mobi ドメインの脆弱性を悪用した攻撃の概要

研究者は「.mobi」ドメインの古い WHOIS サーバー ドメインである whois.dotmobiregistry.net が 2023 年 12 月に期限切れにになっていた事を発見したときに発生しました。

研究者たちは、新しく取得したドメインに独自の WHOIS サーバーを設置した後、

GlobalSign と共同でこれを PoC し、「microsoft.mobi」の場合、GlobalSign が WHOIS サーバーから提供された応答を解析し、「whois@watchtowr.com」を信頼できる電子メール アドレスとして提示することを実証できました。

政府や軍の施設にも影響

これらにはクエリ送信には、政府や軍のメール サーバー、サイバー セキュリティ ツール、さらには TLS/SSL 証明書の発行を担当する証明機関 (CA) も含まれていました。

この事件では、政府機関、サイバーセキュリティ企業、大手テクノロジー企業など、多数の組織が依然として古い WHOIS サーバー情報に依存していることも明らかになりました。この広範な見落としは、重要なインターネット インフラストラクチャのメンテナンスと更新を改善する必要性を強調しています。

.mobiドメインウェブサイトをドメイン検証を不正に制御できる

最も危険な発見は、CA がウェブサイトの所有権を確認するために使用するドメイン検証プロセスを操作できる可能性がある事です。

WHOIS 応答を制御することで、microsoft.mobi などの知名度の高いドメインの確認メールを自分のアドレスに送信する機能を実証しました。

研究者は「事実上、私たちは .mobi TLD 全体の CA プロセスを不注意で弱体化させてしまった」と述べています。

この脆弱性により、悪意のある人物が不正な SSL 証明書を入手し、広範囲にわたる中間者攻撃を引き起こし、暗号化された通信のセキュリティを侵害する可能性がある。

研究者らは、不正な証明書を取得していないことを強調した。不正な証明書を取得していたら、重大なセキュリティ インシデントが発生していたはずだからだ。

この事件では、政府機関、サイバーセキュリティ企業、大手テクノロジー企業など、多数の組織が依然として古い WHOIS サーバー情報に依存していることも明らかになりました。

この広範な見落としは、重要なインターネット インフラストラクチャのメンテナンスと更新を改善する必要性を強調しています。

研究者の調査結果を受けて、英国の国立サイバーセキュリティセンター (NCSC) と

ShadowServer Foundation は、この問題を軽減するための措置を講じました。侵害されたドメインは、.mobi ドメインの正当な WHOIS 応答をプロキシする システムにリダイレクトされました。

参照

We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI