Недавно специалист по кибербезопасности обнаружил уязвимость в интернете, которая позволила ему отслеживать электронные письма пользователей, запускать код на серверах и даже подделывать сертификаты HTTPS. Это дало ему такие большие возможности, что они были описаны как «суперспособности».
Эта уязвимость основана на простой концепции — истекший домен, который все еще активно запрашивается многочисленными серверами. Речь идет о домене dotmobiregistry.net, который ранее использовался для размещения WHOIS-сервера для домена .mobi.
WHOIS-сервер предоставляет информацию о регистрации доменных имен и IP-адресов. Он является частью протокола WHOIS, который используется для запроса баз данных, хранящих информацию о владении и регистрации доменных имен и сетевых ресурсов в интернете. Домен .mobi был верхнеуровневым доменом, специально созданным для веб-сайтов, предназначенных для доступа через мобильные устройства. Он был запущен в 2006 году и предназначался для обеспечения оптимизации сайтов для мобильного просмотра.
В определенный момент времени, но никто не знает точно когда и почему, WHOIS-сервер был перемещен с адреса whois.dotmobiregistry.net на whois.nic.mobi. Когда директор и основатель компании по безопасности watchTowr, Бенджамин Харрис, обнаружил это, он приобрел домен и настроил альтернативный WHOIS-сервер для .mobi.
В последующие дни сервер-дубликат Харриса получил миллионы запросов от сотен тысяч систем, включая регистраторов доменов, правительственные учреждения, университеты и другие организации.
Это позволило ему, например, решать, кто получает TLS-сертификаты. «Теперь, когда у нас есть возможность выдавать TLS/SSL сертификат для домена .mobi, мы можем теоретически совершать всевозможные ужасные действия — от перехвата трафика до подделки целевого сервера,» — сказал Харрис в техническом отчете. «На этом этапе игра окончена для многих моделей угроз. Хотя некоторые могут сказать, что мы не ‘доказали’, что могли бы получить сертификат, мы считаем, что это было бы слишком далеко, так что как бы то ни было.»
Эта уязвимость демонстрирует важность тщательного контроля над доменными именами и их актуальностью, поскольку даже простой истекший домен может стать источником серьезных угроз в интернете.
Источник: TechRadar
