mobi 域名的当前 WHOIS 服务器漏洞研究

重点内容

研究人员通过 20 注册 mobi 的前 WHOIS 服务器，发现证书颁发机构CAs可被诱导使用虚假电子邮件进行域名验证，进而破坏 TLS 信任链。许多因依赖过时记录而未更新的 WHOIS 客户端，使得攻击者可劫持旧的 WHOIS 服务器域名并假冒域名所有者，带来安全隐患。研究表明，政府和机构对这一过程的信任存在问题，各方应对此情况引起重视。

版权：Shutterstock

研究人员发现，互联网中的 WHOIS 客户端，包括电子邮件服务器和证书颁发机构CAs，均依赖过时的 WHOIS 服务器记录，这可能使攻击者得以劫持旧的 WHOIS 服务器域名并假冒域名所有者。这为攻击活动打开了大门，包括获取未授权的 TLS 证书以用于未拥有的域名。

在针对 WHOIS 客户端的远程代码执行RCE漏洞进行调查时，来自 watchTowr 的研究人员以 20 的价格购买了之前用于整个 mobi 顶级域TLD的 WHOIS 服务器域名，发现仍有数以万计的系统向其控制的旧 WHOIS 服务器地址发出查询。

“在错误的人手中，拥有该域名可能使攻击者能够‘回应’查询并注入恶意负载，从而利用 WHOIS 客户端的漏洞，”研究人员在接受 CSO 采访时表示。 “政府邮件服务器向 watchTowr 的 WHOIS 服务器发起请求的担忧 可以通过流量分析被动观察并推断电子邮件通信。”

最大的发现是，一些 CAs受信任的组织，负责向域名所有者颁发 TLS 证书仍在依赖老旧的 mobi WHOIS 服务器获取 mobi 域名的联系电子邮件地址，作为其域名控制验证DCV过程的一部分。

“我们发布了这篇博客，初衷是分享将无法利用的漏洞变为可利用的过程，并强调遗留基础设施的现状及放弃域名相关的问题 但我们无意中揭示了互联网最重要的加密过程之一 TLS/SSL 证书颁发机构中依然存在的问题” 研究人员在他们的 博客中 写道。 “我们认为，全球各国政府和权威机构在这个过程上所寄予的信任应该被重新审视。”

古老的 WHOIS 协议

WHOIS 协议可以追溯到 1980 年代初期，当时它被标准化，但首个 WHOIS 服务实际上是在 ARPANET互联网的前身上建立的。该协议用于查询域名和 IP 地址的信息，作用于 TCP 43 端口，返回有关域名注册时间、注册商、到期时间、拥有者及其联系信息等的文本记录。

管理 TLD如 com、org、net 等的组织是这些信息的管理者，并运营自己的 WHOIS 服务器。这些服务器被列入互联网的 根区数据库，由互联网号码分配局IANA维护，IANA 是互联网名称与数字地址分配机构ICANN的一部分。

黑洞加速器官方

IANA 提供了自己的 WHOIS 服务器 whoisianaorg，可以通过该服务器查询到特定 TLD 的 WHOIS 服务器地址，目前全球有超过 1500 个 TLD 涉及超过 35 亿个注册域名。查询 WHOIS 信息的应用，首先会向 whoisianaorg 请求，获取特定 TLD 的当前 WHOIS 服务器，然后查询该服务器对应的具体域名。

为了限制请求数量，尤其是在处理大量 IP 地址或主机名时，WHOIS 客户端倾向于使用硬编码的 WHOIS 服务器列表，或依赖使用过时