นักวิจัยพบผู้ควบคุมโดเมน .MOBI ไม่ต่ออายุโดเมนเซิร์ฟเวอร์ WHOIS เก่า เปิดทางคนร้ายออกใบรับรองแทนเจ้าของโดเมน

by lew
12 September 2024 - 01:18

ทีมวิจัยความปลอดภัยจาก WatchTower รายงานถึงความผิดพลาดของผู้ให้บริการออกใบรับรองการเข้ารหัส จากการที่ผู้รับจดทะเบียนโดเมน .MOBI ย้ายเซิร์ฟเวอร์ WHOIS จากเดิม จนนำไปสู่ช่องโหว่ให้ทีมวิจัยสามารถออกใบรับรองของโดเมนใดๆ ภายใต้ TLD .MOBI ได้ทั้งหมด

WHOIS เป็นโปรโตคอลในการขอข้อมูลโดเมน, ไอพี, และหมายเลข Autonomous Systems (AS) ว่าผู้จดทะเบียนเป็นใคร หมดอายุเพื่อใด ตลอดจนต้องติดต่อใครบ้างหากมีปัญหา

ปัญหาเกิดจากผู้ให้บริการจะทะเบียน .MOBI การย้ายเซิร์ฟเวอร์ whois.dotmobiregistry.net ไปยัง whois.nic.mobi ตั้งแต่หลายปีก่อน และทิ้งให้โดเมน dotmobiregistry.net หมดอายุไป ทีมวิจัยซื้อโดเมนนี้มา และเปิดเซิร์ฟเวอร์ WHOIS เพื่อดูว่ามีใครเชื่อมต่อเข้ามาบ้าง และปรากฎว่ายังมีเซิร์ฟเวอร์จำนวนมากคิวรี WHOIS เข้ามาอยู่ หลังจากสังเกตไประยะหนึ่งก็พบว่ามีผู้ให้บริการออกใบรับรองเข้ารหัส (certification authority - CA) เชื่อมต่อเข้ามาด้วย

ทีมงานสร้าง WHOIS สำหรับโดเมนที่ตัวเองไม่ได้เป็นเจ้าของ เช่น microsoft.mobi แล้วพยายามขอใบรับรองเข้ารหัสจาก CA ต่างๆ พบว่า GlobalSign อ่านค่าจะเซิร์ฟเวอร์ WHOIS ที่ทีมงานตั้งขึ้นมาใหม่ ทำให้สามารถขอใบรับรองโดยใช้อีเมลของทีมวิจัยได้

ทีมงานหยุดการทดสอบไว้แค่หน้าเว็บขอใบรับรองโดยไม่ได้ออกใบรับรองจริง อย่างไรก็ตามทีมงานพบว่าเซิร์ฟเวอร์จำนวนมากเชื่อมต่อมายังโดเมนเก่านี้ ทั้งอีเมลเซิร์ฟเวอร์, และบริการความปลอดภัย การอัพเดตข้อมูลโดเมน WHOIS จึงเป็นส่วนสำคัญของความปลอดภัยที่ผู้ดูแลระบบต้องอัพเดตต่อเนื่องเพื่อไม่ให้เกิดเหตุการณ์แบบนี้อีก

ที่มา - WatchTower

Blognone Jobs Premium