セキュリティ企業のwatchTowrが、TLDが「.mobi」のあらゆるサイトを乗っ取ることができる脆弱(ぜいじゃく)性を発見したと報告しました。

We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI

https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/



watchTowrの調査チームは、「.mobi」のwhoisサーバーがwhois.dotmobiregistry.netからwhois.nic.mobiに移行しており、元のwhoisサーバーが設置されていたdotmobiregistry.netドメインが2023年12月に期限切れになっていたことを発見。すぐにdotmobiregistry.netドメインを取得しました。

調査チームがもともとwhoisサーバーがホストされていたwhois.dotmobiregistry.netにwhoisサーバーを設置してみると、2024年8月30日から9月4日までの6日間で13万5000件以上のサービスから250万件以上のクエリを受信したとのこと。数千円のお金を払ってドメインを取得するだけで、誰でも多数のwhoisクライアントに悪意のあるデータを送信することが可能になっていました。



whoisを使用するサービスは多くの場合、whoisサーバーからのレスポンスをある程度信頼できるものとして扱います。そのためXSS攻撃に対する対策が十分ではなく、少しデータを工夫するだけで下図の様に本来whoisの結果が出力されるはずだった場所で任意のコードを実行できてしまうとのこと。



watchTowrの調査チームはwhois.dotmobiregistry.netに送信された全てのクエリに対し、watchTowrのロゴのアスキーアートとともに「これはwatchTowrのプライベートサーバーです。クエリの送信をやめてください」というメッセージを送信。このとき、全てのwhois情報欄にwatchTowrのデータを入力していました。



ドメインを取得する前に空いているドメインなのかを確認するなどの需要に応えるため、世の中にはwhoisを行うためのウェブサービスが多数存在しています。下図のGoDaddyのwhoisサービスでは昔のwhoisサーバーであるwhois.dotmobiregistry.netにクエリを送信し続けており、watchTowrの設定した偽のwhois情報が出てきてしまうとのこと。



urlscan.ioのwhoisサービスも同様にwatchTowrのデータを出力しています。



マルウェア分析サイトのVirusTotalも昔のwhoisサーバーにクエリを送信しています。



whoisサーバーのアドレスを告知する方法は特に決まっているわけではなく、一般的にはIANAが公開しているテキスト形式のリストを元に実装されています。whoisサーバーはあまり移転するものではないため、多くのエンジニアはwhoisを利用するサービスの開発時にアドレスをハードコードしており、そのため移転後も元のwhoisサーバーにクエリを送信するサービスが多数存在しているというわけ。

watchTowrのチームがその後も調査を続けたところ、TLS/SSL証明書の発行においてドメイン所有権の証明をwhoisに記載されているメールアドレスで行える場合があり、その中でもGlobalSignは「.mobi」のwhoisサーバーとして元のwhoisサーバーのアドレスを使用していたため下図のように「watchtowr.comのメールアドレスでmicrosoft.mobiの所有権を証明する」ことが可能であることが判明しました。



つまり、watchTowrはあらゆる「.mobi」ドメインに対するTLS/SSL証明書を取得できてしまうというわけです。現代のインターネットのセキュリティは多くの部分をTLS/SSL証明書に頼っており、TLS/SSL証明書を自由に発行できるということは、理論上はトラフィックの傍受や対象サーバーになりすますことなど多数の恐ろしい行為が可能になってしまうとのこと。

もちろん、watchTowrのチームはTLS/SSL証明書を発行せず、調査の終了後は正しい「.mobi」のwhois応答をプロキシするサーバーを設置し直したと述べています。