Güvenlik araştırmacıları, .mobi üst düzey alan adının (TLD) tamamının güvenliğini tehlikeye atabilecek alan adı doğrulama sürecinde kritik bir güvenlik açığı keşfettiler.
Süresi dolmuş bir WHOIS sunucu alan adından kaynaklanan bu açık, araştırmacıların tüm .mobi web siteleri için alan adı doğrulaması üzerinde yetkisiz bir kontrol elde etmelerine olanak sağladı.
Sorun, watchTowr araştırmacılarının .mobi için eski WHOIS sunucu alan adının, whois.dotmobiregistry.net, Aralık 2023’te sona ereceğini keşfetmeleriyle ortaya çıktı.
Alan adını yalnızca 20 dolara hızla kaydettiler ve böylece, hala eski sunucu adresini kullanan birçok sistemin gözünde .mobi TLD’sinin yeni “yöneticileri” haline geldiler.
Yeni edinilen alan adına kendi WHOIS sunucusunu kuran araştırmacılar, birkaç gün içinde 135.000’den fazla benzersiz sistemin sunucularını sorguladığını görünce şok oldular.
Bunlar arasında hükümet ve askeri posta sunucuları, siber güvenlik araçları ve hatta TLS/SSL sertifikaları vermekle sorumlu Sertifika Yetkilileri (CA) bile yer alıyordu.
En endişe verici keşif, araştırmacıların CA’ların web sitesi sahipliğini doğrulamak için kullandığı alan adı doğrulama sürecini potansiyel olarak manipüle edebileceklerini fark etmeleriydi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
WHOIS yanıtlarını kontrol ederek, microsoft.mobi gibi yüksek profilli alan adları için adreslerine doğrulama e-postaları gönderebilme yeteneklerini gösterdiler.
Araştırmacılar, “Etkili bir şekilde, istemeden tüm .mobi TLD için CA sürecini baltaladık,” dedi. Bu güvenlik açığı, kötü niyetli aktörlerin sahte SSL sertifikaları elde etmesine izin verebilir, bu da potansiyel olarak yaygın aracı saldırılarına yol açabilir ve şifreli iletişimlerin güvenliğini tehlikeye atabilir.
Araştırmacılar teorilerini büyük bir Sertifika Otoritesi olan GlobalSign ile test ettiler ve microsoft.mobi için bir doğrulama e-postasının kendi adreslerine gönderilmesini sağladılar. Sahte sertifikalar elde etmediklerini vurguladılar çünkü bunu yapmak önemli bir güvenlik olayı yaratacaktı.
Araştırmacılar, bu güvenlik açığını asgari kaynaklarla istismar edebilmeleri durumunda, iyi finanse edilen ulus-devlet aktörlerinin daha da fazla zarara yol açabileceğini belirtti.
Olay ayrıca, hükümet kurumları, siber güvenlik şirketleri ve büyük teknoloji şirketleri de dahil olmak üzere çok sayıda kuruluşun hala güncel olmayan WHOIS sunucu bilgilerine güvendiğini ortaya koydu. Bu yaygın gözetim, kritik internet altyapısının daha iyi bakımı ve güncellenmesi ihtiyacını vurgulamaktadır.
Araştırmacıların bulgularına yanıt olarak, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve ShadowServer Vakfı sorunu hafifletmek için adımlar attı. Tehlikeye atılan alan adı, artık .mobi alan adları için meşru WHOIS yanıtlarını vekil olarak kullanan çöküntü sistemlerine yönlendirildi.
Araştırmacıların vardığı sonuç şu: “Eğer biz bunu yapabildiysek, herkes yapabilir.” Bu ayıklatıcı hatırlatma, internetin temel altyapısını güvence altına almadaki devam eden zorlukları ve gelişen tehditlere karşı korunmak için gereken sürekli teyakkuzu vurguluyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!