近日，網(wǎng)絡(luò)安全公司watchTowr創(chuàng)始人本杰明·哈里斯撰文透露他僅花了幾分鐘時(shí)間就成功生成偽造HTTPS證書(shū)、能夠追蹤電子郵件活動(dòng)，甚至還可以在全球成千上萬(wàn)臺(tái)服務(wù)器上執(zhí)行任意代碼。

僅花20美元即可控制全球海量服務(wù)器

哈里斯是在花費(fèi)20美元購(gòu)買過(guò)期域名dotmobiregistry.net時(shí)意外發(fā)現(xiàn)了這個(gè)驚天漏洞。

該域名曾是用于管理.mobi頂級(jí)域名的WHOIS服務(wù)器，然而，.mobi的域名管理員不知何時(shí)將服務(wù)器遷移到新網(wǎng)址whois.nic.mobi，卻未通知任何人，全球大量服務(wù)器仍然引用舊域名。

哈里斯在購(gòu)買并重新啟用該域名后，驚訝地發(fā)現(xiàn)，短短數(shù)小時(shí)內(nèi)，他的服務(wù)器就接收到來(lái)自超過(guò)7.6萬(wàn)個(gè)獨(dú)立IP地址的查詢請(qǐng)求。更令人震驚的是，在接下來(lái)的五天里，他的服務(wù)器收到了約250萬(wàn)次查詢請(qǐng)求，來(lái)自全球的政府機(jī)構(gòu)、域名注冊(cè)商、安全工具提供商和證書(shū)頒發(fā)機(jī)構(gòu)等。

WHOIS系統(tǒng)自互聯(lián)網(wǎng)早期以來(lái)就一直在域名注冊(cè)和管理中扮演著關(guān)鍵角色。然而，隨著時(shí)間的推移，許多系統(tǒng)依舊信任舊的WHOIS服務(wù)器，未能及時(shí)更新其記錄。這意味著，當(dāng)哈里斯接管這個(gè)過(guò)期域名時(shí)，他不僅能夠攔截對(duì).mobi域名的所有查詢，還能通過(guò)偽造的WHOIS信息操控證書(shū)頒發(fā)流程。例如，哈里斯嘗試為“microsoft.mobi”生成證書(shū)請(qǐng)求，并順利收到了證書(shū)頒發(fā)機(jī)構(gòu)GlobalSign發(fā)來(lái)的驗(yàn)證郵件。

雖然出于道德原因，哈里斯并沒(méi)有進(jìn)一步生成偽造證書(shū)，但他指出，這一漏洞意味著攻擊者完全可以利用偽造的HTTPS證書(shū)攔截網(wǎng)絡(luò)流量或冒充目標(biāo)服務(wù)器。這對(duì)于依賴HTTPS協(xié)議保護(hù)敏感數(shù)據(jù)的網(wǎng)站來(lái)說(shuō)，無(wú)異于“游戲結(jié)束”。

WHOIS為何如此“危險(xiǎn)”？

自互聯(lián)網(wǎng)治理初期（當(dāng)時(shí)還被稱為 ARPANET）以來(lái)，WHOIS就發(fā)揮著關(guān)鍵作用。1974年，增強(qiáng)研究中心的信息科學(xué)家Elizabeth Feinler成為NIC（網(wǎng)絡(luò)信息中心項(xiàng)目的簡(jiǎn)稱）的首席研究員。在Feinler的監(jiān)督下，NIC開(kāi)發(fā)了頂級(jí)域名系統(tǒng)和官方主機(jī)表，并發(fā)布了ARPANET目錄，該目錄充當(dāng)了所有網(wǎng)絡(luò)用戶的電話號(hào)碼和電子郵件地址的目錄。最終，該目錄演變?yōu)閃HOIS系統(tǒng)，這是一個(gè)基于查詢的服務(wù)器，提供所有互聯(lián)網(wǎng)主機(jī)名及其注冊(cè)實(shí)體的完整列表。

盡管WHOIS看起來(lái)已經(jīng)過(guò)時(shí)，但它如今仍然是具有重大影響力的重要資源。起訴版權(quán)或誹謗的律師會(huì)使用它來(lái)確定域名或IP地址所有者。反垃圾郵件服務(wù)則依靠它來(lái)確定電子郵件服務(wù)器的真正所有者。此外，證書(shū)頒發(fā)機(jī)構(gòu)依靠它來(lái)確定域名的官方管理電子郵件地址。

廢棄WHOIS服務(wù)器域名一旦落入黑客，則會(huì)變成殺傷力巨大的流氓WHOIS服務(wù)器。其最危險(xiǎn)的用途之一就是能夠指定電子郵件地址證書(shū)頒發(fā)機(jī)構(gòu)GlobalSign用來(lái)確定申請(qǐng)TLS證書(shū)的一方是否是該證書(shū)所適用域名的合法所有者。

與絕大多數(shù)競(jìng)爭(zhēng)對(duì)手一樣，GlobalSign使用自動(dòng)化流程。例如，針對(duì)example.com的申請(qǐng)將提示證書(shū)頒發(fā)機(jī)構(gòu)向該域名的權(quán)威WHOIS中列出的管理電子郵件地址發(fā)送電子郵件。如果另一端的一方點(diǎn)擊鏈接，證書(shū)將自動(dòng)獲得批準(zhǔn)。

除了偽造證書(shū)外，哈里斯還發(fā)現(xiàn)，許多政府機(jī)構(gòu)、企業(yè)和反垃圾郵件服務(wù)在接收到來(lái)自.mobi域名的電子郵件時(shí)，依然會(huì)向他的偽造服務(wù)器發(fā)送查詢請(qǐng)求。這意味著，他能夠通過(guò)長(zhǎng)期追蹤這些查詢，間接推測(cè)出相關(guān)通信的發(fā)件人和收件人，潛在地獲取敏感信息。

此外，一些查詢流氓WHOIS服務(wù)器的安全服務(wù)和WHOIS客戶端本身存在漏洞，攻擊者可以利用這些漏洞在查詢?cè)O(shè)備上執(zhí)行惡意代碼。這使得本應(yīng)受信任的WHOIS服務(wù)器變成了潛在的攻擊源。

結(jié)論：信任是互聯(lián)網(wǎng)最可怕的安全債

哈里斯的安全測(cè)試揭示了一個(gè)更深層次的問(wèn)題：互聯(lián)網(wǎng)的某些關(guān)鍵基礎(chǔ)設(shè)施依賴于過(guò)時(shí)且脆弱的域名管理系統(tǒng)，容易被忽視或?yàn)E用。由于WHOIS服務(wù)器的命名和管理缺乏統(tǒng)一標(biāo)準(zhǔn)，許多第三方服務(wù)仍然錯(cuò)誤地將過(guò)期的dotmobiregistry.net視為.mobi域名的官方服務(wù)器。

這類問(wèn)題不僅限于WHOIS服務(wù)器。哈里斯指出，類似的漏洞也存在于S3存儲(chǔ)桶等云基礎(chǔ)設(shè)施中，當(dāng)這些資源被廢棄時(shí)，仍有可能被其他人重新注冊(cè)并利用。

哈里斯的研究提醒我們，網(wǎng)絡(luò)世界中的信任鏈條往往比我們想象的更加脆弱，而“過(guò)期信任”和“隱式信任”可能會(huì)帶來(lái)無(wú)法預(yù)料的災(zāi)難性風(fēng)險(xiǎn)。