Güvenlik araştırmacılarının yalnızca 20 dolar karşılığında İnternet altyapısının bir bölümünü kontrol altına alma becerisi, kuruluşların ve kullanıcıların günlük hayatta güvendiği güven ve siber güvenlik mekanizmalarının kırılganlığına dikkat çekti.
Rahatsız edici olay, watchTowr’daki araştırmacıların Las Vegas’taki yakın zamandaki Black Hat USA konferansında WHOIS istemcilerinde uzaktan kod yürütme güvenlik açıklarını hevesle aramasıyla başladı. Etrafta dolaşırken, araştırmacılar keşfetti .mobi üst düzey alan adı (TLD) için WHOIS sunucusunun —mobil için optimize edilmiş siteler için— birkaç yıl önce “whois.dotmobiregistry.net”ten “whois.nic.mobi”ye taşındığı. Değişiklikten sonra, orijinal alan adı (whois.dotmobiregistry.net) için kayıt geçen Aralık ayında sona erdi.
Tesadüfi Bir Keşif
WHOIS sunucusu, İnternet için genel bir telefon rehberi gibidir ve bir IP adresi veya web sitesinin sahipleriyle ilgili bilgilerin yanı sıra çok sayıda başka ilgili bilgi içerir. WHOIS istemcisi, bir WHOIS sunucusundan belirli bir alan adı veya IP adresi hakkında bilgi sorgulayan ve alan bir araçtır.
Bir şaka olarak, watchTowr araştırmacıları süresi dolan whois.dotmobiregistry.net’i şirketin adına kaydetmek ve arkasına bir WHOIS sunucusu yerleştirmek için 20$ harcadılar ve herhangi bir WHOIS istemcisinin bunu sorgulayıp sorgulamayacağını görmek istediler. İlk varsayımları, birkaç yıl önce yeni .mobi yetkili WHOIS sunucusuna (whois.nic.mobi) geçişten sonra çok az sayıda WHOIS istemcisinin devre dışı bırakılan sunucuya dokunacağıydı.
watchTowr araştırmacıları, şaşkınlıklarına ve dehşetlerine rağmen, sadece birkaç saat içinde WHOIS sunucularına sorgu gönderen 76.000’den fazla benzersiz IP adresi buldu. Yaklaşık iki gün içinde bu sayı, dünya çapında 135.000 benzersiz sistemden 2,5 milyondan fazla sorguya yükseldi.
Beklentilerinin aksine, watchTowr’un WHOIS sunucusunu sorgulayanlar arasında büyük alan adı kayıt şirketleri ve WHOIS işlevlerini yerine getiren web siteleri vardı. Ayrıca watchTowr’un WHOIS alan adını sorgulayanlar arasında ABD, İsrail, Pakistan, Hindistan, Filipinler’deki çok sayıda devlet kuruluşunun posta sunucuları, İsveç’teki bir askeri kuruluş ve dünya çapında sayısız üniversite vardı. Rahatsız edici bir şekilde, VirusTotal dahil olmak üzere bazı güvenlikle ilgili web siteleri bile watchTowr’un WHOIS sunucusunu .mobi TLD’si için yetkili sunucuymuş gibi sorguladı.
watchTowr kötü niyetli bir aktör olsaydı, whois.dotmobiregistry.net’in sahibi olma statüsünü, sunucuya sorgu gönderen herkese kötü amaçlı yükler göndermek veya e-posta iletişimlerini pasif olarak izlemek ve potansiyel olarak başka kargaşalar yaratmak için kolayca kötüye kullanabilirdi.
watchTowr’un CEO’su ve kurucusu Benjamin Harris, şirketinin keşfiyle ilgili bir SSS’de “Yanlış ellerde, alan adına sahip olmak saldırganların sorgulara ‘yanıt vermesini’ ve WHOIS istemcilerindeki güvenlik açıklarını istismar etmek için kötü amaçlı yükler enjekte etmesini sağlayabilir” dedi. Hükümet posta sunucularının watchTowr’un WHOIS sunucularına ulaşması açısından, “e-posta iletişimini pasif bir şekilde gözlemlemek ve çıkarsamak için trafik analizi yapılabilir” dedi.
Ciddi Bir Alan Adı Doğrulama Zayıflığı
Ancak bundan daha da rahatsız edici olanı, watchTowr’un, ‘microsoft.mobi’ ve ‘google.mobi’ gibi alan adları için TLS/SSL sertifikaları verenler de dahil olmak üzere birden fazla Sertifika Yetkilisinin (CA) alan adı doğrulama amacıyla watchTowr’un sunucusunu kullandığını keşfetmesiydi.
watchTowr, “Bir dizi TLS/SSL yetkilisinin, alan adınızın WHOIS verilerini ayrıştırarak (örneğin watchTowr.mobi) ve ‘idari iletişim’ olarak tanımlanan e-posta adreslerini çekerek bir alan adının sahipliğini doğrulayacağı ortaya çıktı,” dedi. “İşlem daha sonra bu e-posta adresine bir doğrulama bağlantısı göndermektir. Tıklandığında, sertifika yetkilisi, TLS/SSL sertifikası talep ettiğiniz alan adını sizin kontrol ettiğinize ikna olur ve size memnuniyetle bir sertifika verir.”
Başka bir deyişle, watchTowr, alan adı sahipliği sorgularına yanıt olarak sertifika yetkililerine (CA’lar) kendi e-posta adresini sağlayabilir ve diğer kuruluşlar adına TLS/SSL sertifikaları alabilir. Bir kez daha, beklentilerin aksine, watchTowr, Trustico, Comodo, GlobalSign ve Sectigo dahil olmak üzere çok sayıda iyi bilinen CA’nın alan adı doğrulaması için WHOIS verilerini kullandığını keşfetti.
“microsoft.mobi için watchTowr, CA GlobalSign’ın WHOIS sunucusu tarafından sağlanan yanıtları ayrıştırıp sunacağını gösterdi.[email protected]’ yetkili bir e-posta adresi olarak,” dedi güvenlik satıcısı. “watchTowr’un keşfi, .mobi TLD’sinin tamamı için sertifika yetkilendirme sürecini etkili bir şekilde zayıflatıyor, bu süreç yıllardır ulus devletler tarafından açıkça hedef alınıyor.” Araştırma, önemsiz boşluklar Araştırmacılar, İnternet’in TLS/SSL hayati şifreleme süreçleri ve yapılarında bu güvenlik açıklarının bulunduğunu ve bu aşamada bunlara duyulan güvenin neden yersiz olduğunu gösterdiğini yazdı.
Sectigo’da CTO olan Nick France, sorunun CA’ların alan adları için genel WHOIS kayıtlarında idari e-postalar kullanmalarına izin verilmesiyle ilgili olduğunu söylüyor. “Ancak araştırmacılar, .mobi kayıt defterinin geçmişte WHOIS sunucusunu değiştirdiğini ve ‘eski’ adın artık kaydedilebilir bir alan adı olarak kullanılabilir olduğunu buldular – ki öyle de yaptılar,” diyor France.
Bu, yalnızca bir CA’nın güncel olmayan bir WHOIS sunucusu listesi kullanması durumunda bir sorundur, diyor. Bu durumda, bir CA’nın WHOIS sorgusu güncel olmayan bir sunucuya yönlendirilebilir ve sunucuya sahip olan herhangi bir saldırgan, kendi seçtikleri bir e-posta adresi de dahil olmak üzere yanıt olarak herhangi bir çıktı gönderebilir. “Bu, alan adı doğrulama sürecinin başarısız olmasına ve dolayısıyla yanlış sertifikaların verilmesine yol açar.”
watchTowr’un keşfettiği sorun, CA’ların sistemlerini neden güncel tutmaları gerektiğini, özellikle de alan denetimi doğrulaması gibi kritik süreçlerle ilgili olarak, vurguluyor, diyor French. “WHOIS eski, güvensiz bir sistemdir — araştırmacılar ve kullanıcılar tarafından sıklıkla ihmal edilir ve bu da onu bu tür kusurların keşfedilmesi için hazır hale getirir,” diye belirtiyor.
.com, .net ve .gov gibi daha küçük TLD’leri etkilemesine rağmen, bunun alan adı doğrulama sürecinde ciddi bir güvenlik açığı olduğunu gösterdiğini söylüyor.
Sectigo’nun Baş Deneyim Sorumlusu Tim Callan, olayın Alan Denetimi Doğrulaması (DCV) etrafındaki bazı kuralları güncelleme ihtiyacını nasıl vurguladığını ekliyor. “Sertifika Yetkilisi Tarayıcı Forumu’nun bu özel açığı kapatmak için bu değişikliklere hızla geçmesini beklemeliyiz.”
Bu arada, kar amacı gütmeyen İnternet izleme kuruluşu ShadowServer, dotmobiregistry.net etki alanını ve whois.dotmobiregisry.net ana bilgisayar adını çökertti ve sunucuya gelen tüm sorguları .mobi etki alanlarından sorumlu meşru WHOIS’e yönlendiriyor. “Süresi dolmuş kodu/sistemleri hala kullanıyorsanız http://whois.dotmobiregistry.net .mobi TLD için WHOIS sorguları yapmak için lütfen doğru yetkili WHOIS sunucusunu kullanmak üzere hemen güncelleyin http://whois.nic.mobi“” dedi ShadowServer CEO’su Piotr Kijewski bir e-postada.
