Meraih RCE dengan $20 lalu tanpa sengaja menjadi admin .mobi

 (labs.watchtowr.com)
2 poin oleh GN⁺ 2024-09-12 | 1 komentar | Bagikan ke WhatsApp

Ringkasan

  • Latar belakang riset

    • Riset ini dimulai bersama rekan-rekan hanya untuk bersenang-senang.
    • Mereka meneliti apakah kerentanan pada klien WHOIS bisa dieksploitasi di dunia nyata.
    • Mereka menemukan bahwa server WHOIS untuk TLD .MOBI telah dipindahkan, dan domain lamanya sudah kedaluwarsa.
    • Mereka membeli domain tersebut seharga $20 dan menyiapkan server WHOIS.

  • Hasil riset

    • Lebih dari 135.000 sistem mengirim kueri ke server WHOIS tersebut.
    • Sumber kueri utama: entitas .GOV, .MIL, serta berbagai alat dan perusahaan keamanan siber.
    • Otoritas sertifikat menggunakan server WHOIS untuk memverifikasi pemilik domain.
    • Melalui GlobalSign, mereka dapat menetapkan email pemilik domain 'microsoft.mobi' menjadi 'whois@watchtowr.com'.
    • Hal ini berakibat pada lumpuhnya proses CA.

  • Skenario serangan

    • Untuk mengeksploitasi kerentanan klien WHOIS, syarat berikut diperlukan:
      • Serangan MiTM
      • Akses ke server WHOIS
      • Pengaturan referral WHOIS
    • Tim riset membuktikan kemungkinan serangan dengan benar-benar menyiapkan server WHOIS dan menerima kueri nyata.

  • Kerentanan spesifik

    • phpWHOIS (CVE-2015-5243): Data yang diterima dari server WHOIS dijalankan melalui fungsi PHP eval, sehingga memicu RCE.
    • Fail2Ban (CVE-2021-32749): Output dari klien WHOIS tidak divalidasi dengan benar, sehingga menimbulkan kerentanan injeksi perintah.

  • Dampak di dunia nyata

    • Banyak infrastruktur internet masih merujuk ke server WHOIS lama.
    • Registrar domain besar, situs web dengan fitur WHOIS, serta alat keamanan siber ikut terdampak.
    • Otoritas sertifikat TLS/SSL menggunakan data WHOIS untuk memverifikasi kepemilikan domain.

  • Solusi

    • Tim riset bekerja sama dengan ShadowServer untuk mengubah domain dotmobiregistry.net menjadi sistem sinkhole.
    • Hasil riset ini menyoroti masalah pada infrastruktur legacy dan kerentanan otoritas sertifikat TLS/SSL.

Ringkasan GN⁺

  • Riset ini membuktikan bahwa kerentanan pada klien WHOIS dapat dieksploitasi di dunia nyata.
  • Ini menunjukkan bahwa proses verifikasi kepemilikan domain pada otoritas sertifikat TLS/SSL dapat dengan mudah dilumpuhkan.
  • Banyak infrastruktur internet masih merujuk ke server WHOIS lama, sehingga risikonya besar.
  • Hasil riset ini menyoroti masalah pada infrastruktur legacy dan kerentanan otoritas sertifikat TLS/SSL.
  • Proyek dengan fungsi serupa antara lain Let's Encrypt.

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-12
Komentar Hacker News

  • Domain seharusnya jangan pernah dibiarkan kedaluwarsa

    • Jika domain dikaitkan dengan bisnis, domain itu harus diperpanjang selamanya

  • Takut internet bisa runtuh

    • Seseorang bisa merusak internet dari kamar hotel dengan Raspberry Pi

  • Pertanyaan tentang tool yang melakukan hardcode daftar server WHOIS

    • Ada metode standar untuk mendaftarkannya di DNS, tetapi banyak TLD tidak memiliki record
    • Contoh: dig _nicname._tcp.fr SRV +noall +answer

  • Penting untuk memperpanjang domain lama

    • Jika memakai domain, domain itu harus diperpanjang sampai tim berakhir
    • Sulit mengetahui kapan domain lama bisa dilepas

  • Domain dotmobiregistry.net diarahkan ke sistem sinkhole milik ShadowServer

    • Jika domain memang akan ditinggalkan, lebih baik mengembalikan 404

  • Pendekatan terhadap akses komputer memang ditakdirkan gagal

    • Mustahil mencapai keamanan sempurna dengan pemeriksaan SBOM dan pembaruan yang sering
    • Semua sistem akan selalu memiliki bug dan kerentanan

  • Permukaan serangan yang didapat dengan membeli domain server WHOIS yang kedaluwarsa sangat besar

  • Solusi sejati untuk WHOIS adalah RDAP

  • Menarik bahwa log disimpan di database

    • Ada pertanyaan soal penggunaan perintah sqlite3 whois-log-copy.db "select source from queries"|sort|uniq|wc -l

  • Meski ada upaya untuk memperbaiki masalah, situasinya justru memburuk

    • Jika pihak yang menentang memperbaiki masalah parsing, hasilnya mungkin akan lebih baik