安全研究人员花费20 美元实现 RCE，并成为 .MOBI 的管理员

安全研究人员能够生成伪造的 HTTPS 证书、跟踪电子邮件活动，以及在数千台服务器上执行自己选择的代码，这样的事并不常见——只需花费 20 美元和几分钟的时间，就能完成所有这些操作。但这正是最近发生在 Benjamin Harris 身上的事情。

安全公司 watchTowr 的 CEO 兼创始人哈里斯通过注册域名 dotmobiregistry.net 实现了这一切。该域名曾是.mobi权威 WHOIS服务器的官方所在地，.mobi 是一个顶级域名，用于表明网站针对移动设备进行了优化。在某个时候——目前尚不清楚具体时间——这个 WHOIS 服务器（作为所有以 .mobi 结尾的域名的官方目录）被迁移，从 whois.dotmobiregistry.net 迁移到 whois.nic.mobi。上个月在拉斯维加斯举行的黑帽安全会议期间，哈里斯在回到拉斯维加斯的酒店房间时注意到，之前的 dotmobiregistry.net 所有者已让该域名过期。然后，他将其买下并在那里建立了自己的 .mobi WHOIS 服务器。

错置的信任

令哈里斯惊讶的是，他的服务器在设置后的几个小时内就收到了来自 76,000 多个唯一 IP 地址的查询。在五天内，它收到了来自大约 135,000 个唯一系统的约 250 万次查询。查询他弃用域名的系统背后的实体包括互联网巨头，包括域名注册商、在线安全工具提供商、美国和世界各地的政府、大学和证书颁发机构（颁发浏览器信任的 TLS 证书以使 HTTPS 正常运行的实体）。

“watchTowr 的研究表明，我们认为，世界各国政府和当局目前对这一流程的信任是错误的，”哈里斯在一篇记录其研究的文章中写道。“watchTowr 仍然对基本现实感到担忧：watchTowr 在逃离黑帽大会的拉斯维加斯热浪时，在酒店房间里一时兴起发现了这一点，而资源丰富、精力充沛的国家每天都在寻找这样的漏洞。在 watchTowr 看来，他们不太可能是最后一个在如此重要的过程中发现不可原谅的缺陷的人。”

自互联网治理初期（当时还被称为 ARPANET）以来，WHOIS 就发挥着关键作用。1974年，增强研究中心的信息科学家Elizabeth Feinler成为 NIC（网络信息中心项目的简称）的首席研究员。在Feinler 的监督下，NIC 开发了顶级域名系统和官方主机表，并发布了 ARPANET 目录，该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终，该目录演变为 WHOIS 系统，这是一个基于查询的服务器，提供所有互联网主机名及其注册实体的完整列表。

尽管 WHOIS 看起来和感觉都有些过时，但它如今仍然是一项具有重大影响的重要资源。起诉版权或诽谤的律师会使用它来确定域名或 IP 地址的所有者。反垃圾邮件服务依靠它来确定电子邮件服务器的真正所有者。证书颁发机构依靠它来确定域名的官方管理电子邮件地址。诸如此类。

Harris 用与所有真实 .mobi 地址对应的垃圾数据填充了他的 WHOIS 数据库。管理电子邮件地址和大多数其他字段都指向 watchtowr.com 域名。为了搞笑，他还添加了 ASCII 艺术。例如，google.mobi 的 WHOIS 条目如下所示：

除了幽默之外，流氓 WHOIS 服务器赋予了他本不该拥有的权力。其中最强大的权力之一就是能够指定电子邮件地址证书颁发机构 GlobalSign 用来确定申请 TLS 证书的一方是否是该证书所适用域名的合法所有者。与绝大多数竞争对手一样，GlobalSign 使用自动化流程。例如，针对 example.com 的申请将提示证书颁发机构向该域名的权威 WHOIS 中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接，证书将自动获得批准。

当哈里斯为 microsoft.mobi 生成证书签名请求时，他立即收到了 GlobalSign 的一封电子邮件。该电子邮件让他可以选择在 [email protected] 接收验证链接。出于道德原因，他此时停止了实验。

“既然我们有能力为 .mobi 域名颁发 TLS/SSL 证书，那么理论上，我们可以做各种可怕的事情——从拦截流量到冒充目标服务器，”哈里斯写道。“此时，各种威胁模型都完蛋了。虽然我们确信有些人可能会说我们并没有‘证明’我们可以获得证书，但我们觉得这有点太过了——所以随便吧。”

Harris 可以利用他的恶意 WHOIS 服务器进行各种恶行，不仅限于获取伪造证书。许多电子邮件服务器和反垃圾邮件服务（包括政府、军队和大型组织使用的服务器）每次收到来自 .mobi 域名的电子邮件时，都会查询他的 dotmobiregistry.net 域名。在较长时间内跟踪电子邮件链的能力使他能够被动推断出发送和接收通信的各方。

各种 WHOIS 客户端和安全服务也存在漏洞，其中一些漏洞可使攻击者在查询设备上执行恶意代码。通常，利用这些漏洞的可能性不大，因为只有受信任的 WHOIS 服务器才能够利用它们。然而，像哈里斯创建的流氓服务器则不受此类限制。

一个痛苦且反复出现的问题

“购买一个价值 20 美元的域名，允许被动推断 .gov/.mil 通信并颠覆证书颁发机构验证系统，这应该清楚地表明，我们作为互联网用户所依赖的信任和安全流程的完整性现在和现在都极其脆弱，”哈里斯在一次在线采访中写道。“在许多地方，我们都认为理所当然的系统和安全是真正以在 2024 年不会通过批准的方式结合在一起的。”

截至周一下午，数十家第三方网站和服务也对该恶意服务器进行了查询。以下是一些小样本：Google 的 VirusTotal；网站分析服务 URLScan；域名注册商 domain.com、godaddy.com 和 name.com；以及 WHOIS 网站 who.is、whois.ru、smallseo.tools、seocheki.net、centralops.net 和 webchart.or。

哈里斯表示，watchTowr 此后已与国家反间谍和安全中心以及安全组织 ShadowServer 合作，接管 dotmobiregistry.net 域名。他希望他们能保护好它，确保继续与该 WHOIS 服务器通信的系统不会继续受到威胁。

在周一收到评论请求后，GlobalSign 的一位代表表示，该公司已展开调查。谷歌的一位代表表示，作为工具、防病毒引擎、安全扫描器和其他实用程序的聚合器，VirusTotal“可能偶尔会产生误报、漏报或错误”。VirusTotal 会聚合来自 WhoisDS 和 Linux 中包含的 WHOIS 客户端的 WHOIS 响应。该代表表示，一旦这些来源向正确的 WHOIS 服务器查询 .mobi 地址，VirusTotal 也会这样做。

虽然 Linux 客户端似乎最近已开始查询正确的 .mobi WHOIS 服务器，但大多数其他资源尚未开始，这一点从截至周二持续涌入其恶意服务器的查询流就可以看出。

哈里斯告诉 Ars：“事实上，这种相互连接的 WHOIS 服务器‘网络’来自于一个信息仅被硬编码到众多 WHOIS 客户端的时代，[这意味着]不幸的是，这个问题不会在一夜之间得到解决。”

目前尚不清楚其他顶级域名的 WHOIS 查询是否也面临类似的威胁。无论如何，问题在于权威 WHOIS 服务器没有统一的命名约定，甚至没有明确的查询方法。虽然一些第三方已经编制了他们所谓的权威 WHOIS 服务器列表，但其中许多错误地将现已弃用的 dotmobiregistry.net 列为 .mobi 的权威 WHOIS 服务器。

更重要的是，哈里斯表示，他发现的问题并不局限于已退役的域名。S3 存储桶和其他云基础设施在被丢弃并且网站、部署脚本或其他资源继续引用它们时也会产生威胁。

“现实情况是，这个问题以各种形式存在（无论是人们使用他们留下的过期的个人域名，还是随后被另一个人注册，然后这个人就可以访问前所有者的所有账户，”哈里斯告诉 Ars。“我们认为，随着我们看到基础设施/域名等的回收，这将继续成为一个痛苦的问题，并会再次发生。”