Potenziale domain hijacking per .mobi: implicazioni per la sicurezza globale

 

 

Un recente incidente di sicurezza ha evidenziato gravi lacune nella gestione dei domini e nei sistemi di sicurezza associati ai certificati SSL/TLS. Un gruppo di ricercatori dei watchTowr Labs ha acquisito un dominio appartenente alla Top-Level Domain .mobi, una vecchia estensione di dominio che, nonostante teoricamente dismessa, continua a essere interrogata da numerosi sistemi critici in tutto il mondo.

I ricercatori, come parte di un esperimento di sicurezza, hanno scoperto che circa 135.000 sistemi, compresi quelli di governi, università e grandi organizzazioni, continuavano a effettuare interrogazioni verso il dominio, credendolo ancora operativo. Queste interrogazioni includevano richieste di validazione di certificati SSL/TLS, che sono fondamentali per garantire la sicurezza delle comunicazioni online.

La scoperta più allarmante è stata la compromissione potenziale di vari certificati SSL/TLS associati al dominio. 

I certificati SSL/TLS svolgono un ruolo cruciale nella sicurezza delle comunicazioni online, garantendo la crittografia dei dati trasmessi tra client e server. Tuttavia, la loro efficacia dipende dalla fiducia riposta nelle autorità di certificazione e dalla corretta gestione dei domini associati.

Quando un dominio è coinvolto nella verifica dei certificati, le sue vulnerabilità possono permettere ad attaccanti di intercettare o manipolare il traffico criptato tra server e client. Questo potrebbe esporre dati sensibili come credenziali, informazioni finanziarie e altre comunicazioni riservate. Quando un dominio di questo tipo, che viene utilizzato per la verifica di certificati SSL/TLS diventa vulnerabile, gli attaccanti possono sfruttare la situazione in vari modi:

1. Intercettazione del traffico criptato: Se un attaccante ottiene il controllo di un dominio che è parte del processo di verifica dei certificati, può emettere certificati validi a tutti gli effetti. Ciò gli consentirebbe di impersonare siti web legittimi, intercettare le comunicazioni tra il server e il client, e leggere i dati crittografati come password o informazioni finanziarie.

2. Manomissione delle comunicazioni: Gli aggressori potrebbero non solo intercettare, ma anche manipolare il traffico criptato. Ad esempio, potrebbero iniettare malware nei file scaricati o modificare i dati in transito, senza che l'utente o il server si accorgano dell'attacco.

3. Compromissione della fiducia dei certificati: Se i certificati SSL/TLS emessi tramite il dominio compromesso non sono più validi o sicuri, i browser e altri servizi potrebbero iniziare a segnalare errori di sicurezza per i siti web che li utilizzano. Ciò mina la fiducia nell'infrastruttura digitale, poiché certificati falsi potrebbero apparire come legittimi agli utenti e ai sistemi automatici.

Così facendo i ricercatori hanno dimostrato che, nonostante un dominio possa essere tecnicamente abbandonato, i sistemi che continuano a fare riferimento a esso possono essere a rischio. Questo tipo di attacco, noto come "domain hijacking", mette in evidenza la necessità di una gestione proattiva e continua dei domini in uso, specialmente quando coinvolgono processi di sicurezza critici come la gestione dei certificati SSL/TLS.

L'incidente solleva questioni preoccupanti non solo sulla validità dei certificati, ma anche sull'efficacia complessiva delle infrastrutture di sicurezza globali. Molte organizzazioni non mantengono aggiornati i loro sistemi di verifica, e il mancato monitoraggio di domini scaduti può avere conseguenze devastanti. Inoltre, la scoperta rafforza l'importanza di rimuovere o aggiornare i riferimenti a domini non più in uso nei sistemi critici.

Questo incidente dimostra che anche con una spesa irrisoria un malintenzionato potrebbe sfruttare vulnerabilità come quella scoperta nel dominio .mobi per attaccare un'ampia gamma di sistemi. Le organizzazioni devono prendere misure preventive, come audit regolari sui certificati e sul ciclo di vita dei domini, per evitare esposizioni inutili a tali rischi.

La scoperta dovrebbe fungere da promemoria per chiunque si occupi di sicurezza informatica: è necessario aggiornare costantemente i sistemi e monitorare in modo rigoroso l'infrastruttura di rete, per evitare che un dominio abbandonato possa diventare un punto di ingresso per attacchi potenzialmente devastanti!

Ora poniamoci una domanda: di quei 135.000 sistemi che hanno continuato ad interrogare (e magari lo fanno ancora) il dominio .mobi dismesso, quanti sono italiani?

 

Alessandro Rugolo

Per approfondire: 

- https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

- https://www.theregister.com/2024/09/11/watchtowr_black_hat_whois/

- https://www.scworld.com/news/old-whois-domain-could-have-issued-countless-fraudulent-tls-ssl-certificates