「.mobi」ドメインのあらゆるサイトのSSL証明書を取得し、インターネットのセキュリティを破壊できてしまう脆弱性が報告される
セキュリティ企業のwatchTowrが、TLDが「.mobi」のあらゆるサイトを乗っ取ることができる脆弱(ぜいじゃく)性を発見したと報告しました。
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI
https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/
watchTowrの調査チームは、「.mobi」のwhoisサーバーがwhois.dotmobiregistry.netからwhois.nic.mobiに移行しており、元のwhoisサーバーが設置されていたdotmobiregistry.netドメインが2023年12月に期限切れになっていたことを発見。すぐにdotmobiregistry.netドメインを取得しました。
調査チームがもともとwhoisサーバーがホストされていたwhois.dotmobiregistry.netにwhoisサーバーを設置してみると、2024年8月30日から9月4日までの6日間で13万5000件以上のサービスから250万件以上のクエリを受信したとのこと。数千円のお金を払ってドメインを取得するだけで、誰でも多数のwhoisクライアントに悪意のあるデータを送信することが可能になっていました。
whoisを使用するサービスは多くの場合、whoisサーバーからのレスポンスをある程度信頼できるものとして扱います。そのためXSS攻撃に対する対策が十分ではなく、少しデータを工夫するだけで下図の様に本来whoisの結果が出力されるはずだった場所で任意のコードを実行できてしまうとのこと。
watchTowrの調査チームはwhois.dotmobiregistry.netに送信された全てのクエリに対し、watchTowrのロゴのアスキーアートとともに「これはwatchTowrのプライベートサーバーです。クエリの送信をやめてください」というメッセージを送信。このとき、全てのwhois情報欄にwatchTowrのデータを入力していました。
・関連記事
「HTTPSはどのようにして人々を守るのか?HTTPSさえあればウェブは安全なのか?」についてMozillaが解説 - GIGAZINE
20年前のOS「Windows XP」を丸腰でインターネットに放り込むとこうなる - GIGAZINE
若いネットユーザーは中年より「フィッシング詐欺に弱い」ことが判明、パスワードの管理もお粗末 - GIGAZINE
「PCが危険な状態です」などのウソで詐欺に誘導する偽セキュリティ警告画面の閉じ方を学べるサイトが公開されたので使ってみた - GIGAZINE
VPNを経由するはずだった通信を直接インターネットに送信させる攻撃手法「TunnelVision」が発見される - GIGAZINE
・関連コンテンツ
