近日，網絡安全公司watchTowr創始人本杰明·哈里斯撰文透露他僅花了幾分鐘時間就成功生成偽造HTTPS證書、能夠追蹤電子郵件活動，甚至還可以在全球成千上萬臺服務器上執行任意代碼。

僅花20美元即可控制全球海量服務器

哈里斯是在花費20美元購買過期域名dotmobiregistry.net時意外發現了這個驚天漏洞。

該域名曾是用于管理.mobi頂級域名的WHOIS服務器，然而，.mobi的域名管理員不知何時將服務器遷移到新網址whois.nic.mobi，卻未通知任何人，全球大量服務器仍然引用舊域名。

哈里斯在購買并重新啟用該域名后，驚訝地發現，短短數小時內，他的服務器就接收到來自超過7.6萬個獨立IP地址的查詢請求。更令人震驚的是，在接下來的五天里，他的服務器收到了約250萬次查詢請求，來自全球的政府機構、域名注冊商、安全工具提供商和證書頒發機構等。

WHOIS系統自互聯網早期以來就一直在域名注冊和管理中扮演著關鍵角色。然而，隨著時間的推移，許多系統依舊信任舊的WHOIS服務器，未能及時更新其記錄。這意味著，當哈里斯接管這個過期域名時，他不僅能夠攔截對.mobi域名的所有查詢，還能通過偽造的WHOIS信息操控證書頒發流程。例如，哈里斯嘗試為“microsoft.mobi”生成證書請求，并順利收到了證書頒發機構GlobalSign發來的驗證郵件。

雖然出于道德原因，哈里斯并沒有進一步生成偽造證書，但他指出，這一漏洞意味著攻擊者完全可以利用偽造的HTTPS證書攔截網絡流量或冒充目標服務器。這對于依賴HTTPS協議保護敏感數據的網站來說，無異于“游戲結束”。

WHOIS為何如此“危險”？

自互聯網治理初期（當時還被稱為 ARPANET）以來，WHOIS就發揮著關鍵作用。1974年，增強研究中心的信息科學家Elizabeth Feinler成為NIC（網絡信息中心項目的簡稱）的首席研究員。在Feinler的監督下，NIC開發了頂級域名系統和官方主機表，并發布了ARPANET目錄，該目錄充當了所有網絡用戶的電話號碼和電子郵件地址的目錄。最終，該目錄演變為WHOIS系統，這是一個基于查詢的服務器，提供所有互聯網主機名及其注冊實體的完整列表。

盡管WHOIS看起來已經過時，但它如今仍然是具有重大影響力的重要資源。起訴版權或誹謗的律師會使用它來確定域名或IP地址所有者。反垃圾郵件服務則依靠它來確定電子郵件服務器的真正所有者。此外，證書頒發機構依靠它來確定域名的官方管理電子郵件地址。

廢棄WHOIS服務器域名一旦落入黑客，則會變成殺傷力巨大的流氓WHOIS服務器。其最危險的用途之一就是能夠指定電子郵件地址證書頒發機構GlobalSign用來確定申請TLS證書的一方是否是該證書所適用域名的合法所有者。

與絕大多數競爭對手一樣，GlobalSign使用自動化流程。例如，針對example.com的申請將提示證書頒發機構向該域名的權威WHOIS中列出的管理電子郵件地址發送電子郵件。如果另一端的一方點擊鏈接，證書將自動獲得批準。

除了偽造證書外，哈里斯還發現，許多政府機構、企業和反垃圾郵件服務在接收到來自.mobi域名的電子郵件時，依然會向他的偽造服務器發送查詢請求。這意味著，他能夠通過長期追蹤這些查詢，間接推測出相關通信的發件人和收件人，潛在地獲取敏感信息。

此外，一些查詢流氓WHOIS服務器的安全服務和WHOIS客戶端本身存在漏洞，攻擊者可以利用這些漏洞在查詢設備上執行惡意代碼。這使得本應受信任的WHOIS服務器變成了潛在的攻擊源。

結論：信任是互聯網最可怕的安全債

哈里斯的安全測試揭示了一個更深層次的問題：互聯網的某些關鍵基礎設施依賴于過時且脆弱的域名管理系統，容易被忽視或濫用。由于WHOIS服務器的命名和管理缺乏統一標準，許多第三方服務仍然錯誤地將過期的dotmobiregistry.net視為.mobi域名的官方服務器。

這類問題不僅限于WHOIS服務器。哈里斯指出，類似的漏洞也存在于S3存儲桶等云基礎設施中，當這些資源被廢棄時，仍有可能被其他人重新注冊并利用。

哈里斯的研究提醒我們，網絡世界中的信任鏈條往往比我們想象的更加脆弱，而“過期信任”和“隱式信任”可能會帶來無法預料的災難性風險。