Beveiligingsonderzoekers krijgen per ongeluk controle over .mobi-domein

Beveiligingsonderzoekers van watchTowr Labs kregen per ongeluk de controle over het .mobi generic top-level domain, of gTLD. Als het beheer van dergelijke gTLD's in verkeerde handen valt, kan daar op verschillende manieren misbruik van worden gemaakt.

De onderzoekers ontdekten onlangs als onderdeel van een onderzoek naar kwetsbaarheden in whois-servers dat de whois-server van het .mobi-domein enkele jaren geleden gemigreerd is van whois.dotmobiregistry.net naar whois.nic.mobi. Het originele domein verliep in december 2023. De onderzoekers besloten nu om het domein zelf te registreren. "We dachten dat een oud whois-serverdomein waarschijnlijk alleen door oude whois-tools werd gebruikt", aldus de onderzoekers. Het gaat dan om tools als phpWHOIS, waar in 2015 een remote code execution-fout in werd ontdekt.

Op 30 augustus hingen de onderzoekers een whois-server achter whois.dotmobiregistry.net om te zien of er nog iets mee probeerde te praten. Dat bleek inderdaad het geval: ruim 135.000 unieke systemen hebben geprobeerd contact te leggen met de whois-server. Tussen 30 augustus en 4 september kwamen er 2,5 miljoen query's binnen.

Naast cybersecuritytools en e-mailservers van overheden en militaire organisaties probeerden ook diverse certificaatautoriteiten whois.dotmobiregistry.net te gebruiken. Dergelijke autoriteiten zijn verantwoordelijk voor het uitgeven van TLS-certificaten voor domeinen die eindigen op .mobi. De whois-server van de onderzoekers werd door deze organisaties gebruikt om te bepalen wie de eigenaar van een domein is en om te zien waar de verificatiedetails naartoe moeten worden gestuurd.

Het gevaar is dat als zo'n actief gebruikte whois-server in verkeerde handen valt, deze voor malafide doeleinden ingezet kan worden. "Nu we een whois-server beheren, kunnen we 'reageren' op al het verkeer dat gestuurd wordt door mensen die hun client nog niet hebben geüpdatet naar het nieuwe adres", verklaren de onderzoekers. "We hebben geen man-in-the-middleaanval of een exotische whois-verwijzing meer nodig om een kwetsbaarheid in de whois-client te misbruiken. We hoeven in theorie alleen maar te wachten tot er query's binnenkomen en te reageren met wat we maar willen."

WatchTowr Labs heeft samen met het Britse National Cyber Security Centre en de ShadowServer Foundation gezorgd dat dotmobiregistry.net en whois.dotmobiregistry.net voortaan naar systemen van de ShadowServer Foundation verwijzen, die alle verzoeken doorzetten naar de legitieme whois voor het .mobi-domein.

Update, 09.17 uur - De kop stelde eerder dat de onderzoekers beheerders werden van het .mobi-domein. Dat klopt niet helemaal. Het artikel is daarop aangepast.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 12-09-2024 07:37
32 • submitter: wildhagen

12-09-2024 • 07:37

32

Submitter: wildhagen

Lees meer

Entrust verkoopt publiekecertificatentak aan Sectigo
Entrust verkoopt publiekecertificatentak aan Sectigo Nieuws van 30 januari 2025
Let's Encrypt biedt vanaf volgend jaar kortdurende certificaten aan
Let's Encrypt biedt vanaf volgend jaar kortdurende certificaten aan Nieuws van 12 december 2024
DNS Belgium verhoogt prijs .be-domeinen met anderhalve euro
DNS Belgium verhoogt prijs .be-domeinen met anderhalve euro Nieuws van 5 september 2024
Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes
Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes Nieuws van 29 augustus 2024
NIST stelt encryptiealgoritmes vast die bestand zijn tegen quantumcomputers
NIST stelt encryptiealgoritmes vast die bestand zijn tegen quantumcomputers Nieuws van 16 augustus 2024
AWS kondigt AI aan die kwaadaardige domeinen kan opsporen
AWS kondigt AI aan die kwaadaardige domeinen kan opsporen Nieuws van 6 augustus 2024
Meer producten en artikelen
Beveiliging en antivirus Domein Domeinnaam Security

Reacties (32)

-Moderatie-faq
32
32
20
2
0
7
Wijzig sortering
Boekenworm 12 september 2024 07:43
Zijn ze beheerders of eigenaars geworden ?
TomONeill @Boekenworm12 september 2024 07:51
Voor het .mobi domein geen van beide. De titel en inleiding klinken alsof ze nu zelf .mobi domeinen kunnen registreren of verwijderen, maar dat is dus niet zo.

Wat 't nou wel inhoudt vind ik nog wat vaag. Ze kunnen dus reageren op queries. En dan? Zijn er echt processen die 100% leunen op een whois server om bepaalde verificatie te doen? Wat voor verificatie hebben we het over en wat zijn de gevolgen ervan?

Dat mag van mij in het artikel nog wel wat beter uitgelegd worden.
Blokker_1999
@TomONeill12 september 2024 09:09
De whois informatie is een belangrijk onderdeel van hoe het internet kan werken. In je whois record staat namelijk wat de IP adressen van de authoritive DNS servers voor je domein zijn.

Als je die kunt vervalsen, kun je dus verkeer naar dat domein langs je eigen servers beginnen sturen. Of je kan mogelijks andere dingen doen, zoals een certificaat authoriteit jouw een certificaat laten geven voor een domein dat je niet in eigen bezit hebt. En ineens ben je nog een stap verder omdat mensen een geldig certificaat krijgen wanneer ze naar jouw website.mobi surfen terwijl er eigenlijk alsnog een malafide server tussen zit.
bazzi @Blokker_199912 september 2024 10:06
de dns servers die in het whois records staan worden daar niet voor gebruikt. je hebt root nameservers en die verwijzen voor de tld's naar de nameservers van de tlds. Die geven weer antwoord voor de domein welke dns servers er gebruikt moet worden om te resolven, dus de authoritive nameservers.

Neemt niet weg dat je veel onduidelijk kan creeren en ook shit qua certificaten kan proberen bij certificaat toko's die het beheer niet op orde hebben, maar hoop dat dat er weinig zijn die nog werken.

Denk eerder aan domeinnamen verkopen waar je officieel helemaal geen eigenaar van bent...
MrDaViper @TomONeill12 september 2024 08:05
De titel en inleiding klinken alsof ze nu zelf .mobi domeinen kunnen registreren of verwijderen, maar dat is dus niet zo
het is in princiepe niet zo, maar ze kunnen wel antwoorden dat het domein effectief bestaat terwijl dat niet zo is en dan zelfs valse dns servers daarvoor opzetten die ook antwoorden, of zelfs legitieme domeinen spoofen en naar hun valse DNS servers verwijzen.
Wel enkel voor oude clients die nog die whois server gebruiken, maar dat is zeker nog een te groot aantal..

Er zijn jammer genoeg veel processen die enkel en alleen op whois informatie ageren.
Zeker als het om oudere software gaat.. En we weten allemaal hoe goed software geupdate/vervangen/vergeten wordt na obsolescence

[Reactie gewijzigd door MrDaViper op 12 september 2024 08:07]

GoBieN-Be @MrDaViper12 september 2024 11:20
Ik zie niet in hoe ze een valse DNS server kunnen opzetten. Een WHOIS server wordt niet gebruikt om te bepalen wat de nameserver van een domein is. Enkel voor informatie over records, niet records zelf.

Men spreekt hier niet over de nameservers van .mobi gTLD toch?

Dat ze hiermee bepaalde processen die via WHOIS dingen opvragen kunnen beinvloeden, akkoord. Zoals blijkbaar bepaalde certificaat uitgave instanties, dat is best erg.

Maar overnemen domeinen en "controle over de gTLD .mobi" zoals de titelt zegt?
Nee ik lees dat niet en zie dat niet in.

[Reactie gewijzigd door GoBieN-Be op 12 september 2024 11:21]

MrDaViper @GoBieN-Be12 september 2024 11:29
De eerste stap in het resolven van een domein is nagaan welke de DNS servers zijn voor het domein, dat gebeurt wel degelijk bij de navraag van de whois informatie van het domein.
De whois informatie bevat de link van het domein met de DNS servers en als er glue records zijn ook de ip adressen van de desbetreffende DNS servers.

Dus ja, de TLD kunnen ze "overnemen" en dus ook spoofen, toch voor wat betreft oudere software en clients, maar ook kunnen ze certificaten laten uitschrijven voor legitieme domeinen en die certificaten dan weer op andere manieren gaan gebruiken om websites te spoofen,
Jammer genoeg zijn er nog altijd grote CA's die de oude whois server nog gebruiken zoals GlobalSign bv.

Lees er gerust even het volledig artikel van watchTowr zelf op na, alles staat mooi uitgelegd met details en het volledig proces
GoBieN-Be @MrDaViper12 september 2024 11:31
De name server van een domein wordt opgevraagd bij de nameserver van de gTLD en de nameserver van de gTLD wordt opgevraagd bij de ROOT nameservers. Er komt hier geen WHOIS server aan te pas.
MrDaViper @GoBieN-Be12 september 2024 12:14
maar ze kunnen nog altijd legitieme certificaten laten uitschrijven voor legitieme domeinen binnen .mobi
en die certificaten kunnen ze gebruiken om MiTM te doen of zelfs websites na te bouwen en via dns poisoning mensen te redirecten naar hun malicious website
Mellow Jack @TomONeill12 september 2024 07:57
Hun verhaal praat over oude php systemen die sinds 2015 niet zijn geupdate. Deze hebben een remote code execution vurnability. Dus ja, in dat geval hoef je alleen maar de reageren op queries

Hoeveel van dit soort oude systemen nog leven en whois gebruiken is de vraag
tszcheetah @Mellow Jack12 september 2024 10:48
Hun verhaal praat over oude php systemen die sinds 2015 niet zijn geupdate. Deze hebben een remote code execution vurnability.
Dat gaat vooral over de oorspronkelijke intentie om uit te zoeken. Maar de onderzoekers kwamen er gaandeweg achter dat er heel veel actieve partijen hun WHOIS queries naar het overgenomen domein stuurden. 1,3 miljoen queries na zo'n 2 dagen, volgens het artikel.

Door uit te zoeken waar queries vandaan kwamen (overheden, militaire organisaties, registrars, certificaat-autoriteiten) en pro-actief of hun server gebruikt werd door online services, kwamen ze erachter dat de impact nog veel groter was dan het kunnen exploiten van een paar verouderde clients. De potentiële schade (vervalste SSL-certificaten, verstoring van e-mailverkere, enz) was veel groter dan de onderzoekers vooraf hadden verwacht.

Kortom: de verwachting was dat het om hooguit wat verouderde clients ging, maar het probleem bleek veel ernstiger te zijn.
iworx @tszcheetah12 september 2024 12:50
100% dit. Het feit dat die Whois server nog gebruikt werd om TLS certificaten etc te approven zegt iets over de infrastructuur van de certifcaatboer. Valselijk domeinnamen verkopen die dan niet echt van jou blijken is ook wel een dingetje - zeker voor de koper.

Ik snap ook niet dat je een .net domeinnaam laat vervallen als bedrijf/organisatie. De kost daarvan is verwaarloosbaar (11$/jaar).
Kecin @Boekenworm12 september 2024 07:47
Door het domein te registreren technisch de eigenaar en beheerder... Dat maakt het dus extra lastig als je wel kwade intentie hebt.
tom.cx 12 september 2024 07:51
Wat ik niet begrijp uit het verhaal. Wie is de eigenaar van het .mobi en is er met hen ook contact opgenomen over het verlopen van het domein?
MrDaViper @tom.cx12 september 2024 08:01
Het artikel is eigenlijk wat onduidelijk (ongelukkig) geschreven/opgesteld hierin, maar de .mobi TLD heeft er eigenlijk "weinig" mee te maken.
Ze hebben met de TLD .mobi helemaal niets gedaan.
Het domein dotmobiregistry.net hebben ze kunnen registreren omdat dat vrijgekomen was, dat domein werd vroeger gebruikt voor de whois server van .mobi achter te zetten en dan hebben ze na het registreren van het domein gewoon de FQDN whois.dotmobiregistry.net in hun DNS aangemaakt en daar een whois server op geplaatst om zodoende de oude situatie te herbouwen.
Blokker_1999
@MrDaViper12 september 2024 09:06
Maar daamee geef je geen antwoord op de vraag van tom. Wie is eigenaar van .mobi? Zijn zij op de hoogte gesteld van dit onderzoek?

En als vervolgvraag zou ik ook vragen: waarom hebben ze het oude domein vrijgegeven? Het kost je als eigenaar van het gTLD welgeteld 0 cent om dat domein tot het einde van je gTLD in eigen beheer te houden net om dit type van fouten te voorkomen.
MrDaViper @Blokker_199912 september 2024 10:48
Maar daamee geef je geen antwoord op de vraag van tom. Wie is eigenaar van .mobi? Zijn zij op de hoogte gesteld van dit onderzoek?
De eigenaar van .mobi is Afilias. (kan je heel gemakkelijk terugvinden op wikipedia)

En in het gelinkte artikel staat er:
We want to thank the UK's NCSC and the ShadowServer Foundation for rapidly working with us ahead of the release of this research to ensure that the 'dotmobiregistry.net' domain is suitably handled going forwards, and that a process is put in place to notify affected parties.
dus zowel de eigenaars van .mobi zullen gecontacteerd worden, alsook instanties zoals VirusTotal, GlobalSign, godaddy.com, ..

[Reactie gewijzigd door MrDaViper op 12 september 2024 10:49]

BrainCrash @Blokker_199912 september 2024 09:21
Het kost je als eigenaar van het gTLD welgeteld 0 cent om dat domein tot het einde van je gTLD in eigen beheer te houden
Het oude domein zat helemaal niet op het “eigen” .mobi gTLD.
Dat was een .net domeinnaam. (staat meermaals in het artikel)
Nog steeds peanuts qua kosten natuurlijk, maar dus niet 0 cent.
kodak
@tom.cx12 september 2024 10:31
.mobi was in gebruik door het bedrijf Afilias. Dat is in 2020 gefuseerd met Donuts inc en sinds dien is .mobi in gebruik door Identity Digital. Zij doen bijvoorbeeld ook de top level domeinen .networks, .ltd, .games, .army, .computerdls enz.

Het is onduidelijk waarom de onderzoekers het domein niet gewoon aan het bedrijf de controle geven. Misschien vinden ze het bijvoorbeeld niet betrouwbaar genoeg als je dit soort basisvoorziening voor een tld al niet op orde weet te houden. Kijk maar hoe groot de gevolgen hadden kunnen zijn.
Aan de andere kant geeft het 'goedkoop' inzicht in hoe toplever domeinen gebruikt worden. Dat is waarschijnlijk indirect heel waardevol voor een organisatie als shadowserver om het internet veiliger te krijgen. Bijvoorbeeld om te zorgen dat heel veel bedrijven wel de juiste servers gaan gebruiken. Als het direct aan het bedrijf gegeven zou worden is dat mogelijk niet meer het geval en dus een gemiste kans toekomstige problemen te voorkomen.
_--[]--__ 12 september 2024 08:58
De titel van dit artikel is iets dat de onderzoekers zelf claimen en is wmb misleidend. Ze zijn helemaal geen beheerders van het .mobi domein geworden maar waren in staat (aan een aantal third parties) fake ownership informatie voor .mobi domeinen te verstrekken. Hierdoor konden ze bijvoorbeeld TLS certificaten aanvragen voor alle .mobi domeinen. Dat is natuurlijk erg maar is niet hetzelfde als beheerder worden van deze domeinen.
Blokker_1999
@_--[]--__12 september 2024 09:10
Voor elke instantie die hun queries sturen naar dit oude adres zijn zij in de basis wel degelijk de beheerder van die gTLD op dat moment.
GoBieN-Be @Blokker_199912 september 2024 11:23
Een WHOIS server is niet hetzelfde als een nameserver.
Dus DNS queries gaan helemaal niet naar deze valse WHOIS server.
HooksForFeet 12 september 2024 07:47
De titel doet overkomen alsof ze volledig beheer hebben over het hele tld, maar als ik het artikel begrijp beheren ze het alleen voor clients die verouderde software gebruiken? Nog steeds kwalijk maar niet zo bizar als de kop doet geloven.

Wie beheert eigenlijk whois.nic.mobi, en zou het geen regel moeten zijn dat oude whois-domeinnamen voorgoed door de huidige beheerder van het legitieme domein beheerd moet worden?
MrDaViper @HooksForFeet12 september 2024 08:03
zou het geen regel moeten zijn dat oude whois-domeinnamen voorgoed door de huidige beheerder van het legitieme domein beheerd moet worden?
voor iets wat door een TLD of gevoelige informatie gebruikt wordt zou ik dat ook liever zien, zou al direct heel wat tegenhouden. Ook al hosten ze er niets actief op, als het domein in hun beheer blijft kan er weinig anders mee gebeuren.
ultimasnake @HooksForFeet12 september 2024 09:23
Tja de risico’s/gevolgen kunnen gigantisch zijn. Jij queried whois niet maar jouw nameserver van bv je provider wel. 2.4 miljoen queries klinkt niet als veel maar in combinatie met de ttl (time to life) in combinatie met dat andere servers dit doen had dit catastrofaal kunnen zijn voor diensten op .mobi
mmjjb @ultimasnake12 september 2024 13:46
Whois is helemaal niet relevant voor de nameservers / dns routering.
Guru Evi @HooksForFeet12 september 2024 12:45
Maar er zijn wel bepaalde systemen die nog steeds het oude systeem gebruiken zoals TLS certificaat providers, ze hebben o.a. een certificaat kunnen krijgen voor Microsoft.mobi alhoewel ze geen eigenaars zijn van het domein.
3_s 12 september 2024 08:26
Ze registreerden het domein zelf, dat ben je niet 'per ongeluk' eigenaar, eh :).
iam2noob4u @3_s12 september 2024 09:33
Dus als ik een wandeling maak en struikel, doe ik dat niet per ongeluk?

Als je de verwachting hebt dat er hier en daar nog een oud systeempje draait (het pad is effen en je struikelt niet), maar de praktijk is dat je vrijwel alle queries zelf krijgt (je struikelt), vind ik de woorden "per ongeluk" prima passend.

Wat dit impliceert is dat ze een vrij groot deel van de WHOIS queries kregen, maar in het artikel staan alleen de absolute getallen. In hoeverre er sprake is van "controle over .mobi" vind ik dus lastig te bepalen.

[Reactie gewijzigd door iam2noob4u op 12 september 2024 09:33]

Pietervs @iam2noob4u12 september 2024 09:41
Dit gaat niet over struikelen, maar over bewust van het pad aflopen om te zien of je in de tuin van de buurman terecht kan komen. De verwachting is wel dat de buurman zijn tuin goed beveiligd heeft met een leuke schutting en een mooie haag, maar als je dan toch in die tuin terecht komt omdat er een deur openstaat in die schutting gaat daar wat mis.
ultimasnake 12 september 2024 09:26
Eigenaar is wat ongelukkig gekozen maar als je voor 2.4 mil queries een alternatieve server kan opdienen kan je net zoveel als de eigenaar. Ieder domein is te spoofen waarbij we niet moeten vergeten dat whois verzoeken door providers en dns services worden gedaan. Als ziggo (of een andere provider) deze dus nog aanschrijft kon het voor enorme gevolgen zorgen op .mobi sites/diensten
Fiber 12 september 2024 18:47
Er zijn mijns inziens sowieso veel te veel onzinnige TLD domeinen... 8-)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq