本文来自微信公众号“GoUpSec”。
近日,网络安全公司watchTowr创始人本杰明·哈里斯撰文透露他仅花了几分钟时间就成功生成伪造HTTPS证书、能够追踪电子邮件活动,甚至还可以在全球成千上万台服务器上执行任意代码。
仅花20美元即可控制全球海量服务器
哈里斯是在花费20美元购买过期域名dotmobiregistry.net时意外发现了这个惊天漏洞。
该域名曾是用于管理.mobi顶级域名的WHOIS服务器,然而,.mobi的域名管理员不知何时将服务器迁移到新网址whois.nic.mobi,却未通知任何人,全球大量服务器仍然引用旧域名。
哈里斯在购买并重新启用该域名后,惊讶地发现,短短数小时内,他的服务器就接收到来自超过7.6万个独立IP地址的查询请求。更令人震惊的是,在接下来的五天里,他的服务器收到了约250万次查询请求,来自全球的政府机构、域名注册商、安全工具提供商和证书颁发机构等。
WHOIS系统自互联网早期以来就一直在域名注册和管理中扮演着关键角色。然而,随着时间的推移,许多系统依旧信任旧的WHOIS服务器,未能及时更新其记录。这意味着,当哈里斯接管这个过期域名时,他不仅能够拦截对.mobi域名的所有查询,还能通过伪造的WHOIS信息操控证书颁发流程。例如,哈里斯尝试为“microsoft.mobi”生成证书请求,并顺利收到了证书颁发机构GlobalSign发来的验证邮件。
虽然出于道德原因,哈里斯并没有进一步生成伪造证书,但他指出,这一漏洞意味着攻击者完全可以利用伪造的HTTPS证书拦截网络流量或冒充目标服务器。这对于依赖HTTPS协议保护敏感数据的网站来说,无异于“游戏结束”。
WHOIS为何如此“危险”?
自互联网治理初期(当时还被称为ARPANET)以来,WHOIS就发挥着关键作用。1974年,增强研究中心的信息科学家Elizabeth Feinler成为NIC(网络信息中心项目的简称)的首席研究员。在Feinler的监督下,NIC开发了顶级域名系统和官方主机表,并发布了ARPANET目录,该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终,该目录演变为WHOIS系统,这是一个基于查询的服务器,提供所有互联网主机名及其注册实体的完整列表。
尽管WHOIS看起来已经过时,但它如今仍然是具有重大影响力的重要资源。起诉版权或诽谤的律师会使用它来确定域名或IP地址所有者。反垃圾邮件服务则依靠它来确定电子邮件服务器的真正所有者。此外,证书颁发机构依靠它来确定域名的官方管理电子邮件地址。
废弃WHOIS服务器域名一旦落入黑客,则会变成杀伤力巨大的流氓WHOIS服务器。其最危险的用途之一就是能够指定电子邮件地址证书颁发机构GlobalSign用来确定申请TLS证书的一方是否是该证书所适用域名的合法所有者。
与绝大多数竞争对手一样,GlobalSign使用自动化流程。例如,针对example.com的申请将提示证书颁发机构向该域名的权威WHOIS中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接,证书将自动获得批准。
除了伪造证书外,哈里斯还发现,许多政府机构、企业和反垃圾邮件服务在接收到来自.mobi域名的电子邮件时,依然会向他的伪造服务器发送查询请求。这意味着,他能够通过长期追踪这些查询,间接推测出相关通信的发件人和收件人,潜在地获取敏感信息。
此外,一些查询流氓WHOIS服务器的安全服务和WHOIS客户端本身存在漏洞,攻击者可以利用这些漏洞在查询设备上执行恶意代码。这使得本应受信任的WHOIS服务器变成了潜在的攻击源。
结论:信任是互联网最可怕的安全债
哈里斯的安全测试揭示了一个更深层次的问题:互联网的某些关键基础设施依赖于过时且脆弱的域名管理系统,容易被忽视或滥用。由于WHOIS服务器的命名和管理缺乏统一标准,许多第三方服务仍然错误地将过期的dotmobiregistry.net视为.mobi域名的官方服务器。
这类问题不仅限于WHOIS服务器。哈里斯指出,类似的漏洞也存在于S3存储桶等云基础设施中,当这些资源被废弃时,仍有可能被其他人重新注册并利用。
哈里斯的研究提醒我们,网络世界中的信任链条往往比我们想象的更加脆弱,而“过期信任”和“隐式信任”可能会带来无法预料的灾难性风险。