WatchTowr Labs 的安全研究人员意外地获得了 .mobi 通用顶级域名(gTLD)的控制权。如果这类 gTLD 的管理落入错误的手中,可能会以多种方式被滥用。
作为对 whois 服务器漏洞的一部分的研究,研究人员最近发现,.mobi 域名的 whois 服务器几年前从 whois.dotmobiregistry.net 迁移到了 whois.nic.mobi。原始域名于 2023 年 12 月过期。研究人员决定注册该域名。研究人员表示:“我们认为旧的 whois 服务器域名可能只被旧的 whois 工具使用”,比如 2015 年发现了 phpWHOIS 中的远程代码执行错误。
8 月 30 日,研究人员在 whois.dotmobiregistry.net 后挂载了一个 whois 服务器,以查看是否有其他系统尝试与其通信。结果发现,确实有超过 135,000 个独特系统尝试联系 whois 服务器。在 8 月 30 日至 9 月 4 日之间,收到了 250 万次查询请求。
除了政府和军事组织的网络安全工具和电子邮件服务器外,还有多家证书颁发机构尝试使用 whois.dotmobiregistry.net。这些机构负责为以 .mobi 结尾的域名颁发 TLS 证书。研究人员的 whois 服务器被这些组织用于确定域名所有者并查看验证详细信息应发送到何处。
危险在于,如果这样一个活跃使用的 whois 服务器落入错误的手中,就可能被用于恶意目的。研究人员解释说:“现在我们管理了一个 whois 服务器,我们可以对那些尚未将客户端更新到新地址的人发送的所有流量 ‘响应’。我们不再需要中间人攻击或奇特的 whois 引用来利用 whois 客户端的漏洞。在理论上,我们只需等待查询到达并以我们想要的方式做出回应。”
WatchTowr Labs 与英国国家网络安全中心和 ShadowServer Foundation 合作,确保 dotmobiregistry.net 和 whois.dotmobiregistry.net 现在指向 ShadowServer Foundation 的系统,后者将所有请求转发到 .mobi 域名的合法 whois。
微信扫一扫