新闻快讯
< >

WHOIS数据库更新出现技术错误导致数据泄露,问题出在哪?

E安全10月25日讯 亚太互联网络信息中心(Asia-Pacific Network Information Center,APNIC)是亚太地区因特网登记处,也是分配B类IP地址的国际组织。

APNIC本月23日发博文表示,2017年6月,APNIC WHOIS数据库在更新中出现的一次技术错误导致凭证被泄。具体来讲,就是APNIC WHOIS 维护者(Maintainer)和事件影响小组(IRF)对象的哈希验证详情包含在可下载WHOIS数据(不同域名后缀的whois信息,域名以及注册域名的所有人、域名注册商信息等)之中。

收到eBay 的Red Team的通知后,APNIC 10月12日意识到问题所在。10月13日APNIC修复了该问题,此后几天又与资源持有者合作重置所有Maintainer和IRT密码。

WHOI数据库更新出现技术错误导致数据泄露-E安全

问题出在哪?

Maintainer(mntner)是APNIC WHOIS数据库的对象。APNIC WHOIS数据库中的每个对象均通过“mnt-by”属性受Maintainer保护,以此确保只有对Maintainer具有访问权的授权用户才能修改Maintainer保护的其它对象。

事件响应小组对象(IRT)也是APNIC WHOIS数据库的对象,包含组织机构管理员(负责接收网络滥用活动报告)的联系信息。Maintainer或IRT对象中的“auth”属性会指定使用的哈希形式,并以此哈希形式存储密码。

其问题在于:“auth”哈希包含在可下载的WHOIS数据(并非本身发布在APNIC WHOIS上)当中。虽然密码经过哈希处理,但恶意攻击者能借助工具破解密码。若发生这种情况,WHOIS数据存在破坏、伪造或滥用风险。但APNIC表示尚未发现恶意利用的证据。

APNIC首先更正了错误,防止哈希密码包含在今后的WHOIS 下载数据之中。为了消除泄露哈希密码被利用的风险,重置所有Maintainer和IRT对象密码。

资源持有者是否应该采取措施?

APNIC仍在继续分析日志排查是否存在滥用的迹象。截止23日,APNIC称未发现滥用的数据。但是,APNIC建议资源持有者检查WHOIS详情确保万无一失。所有Maintainer和IRT密码已被重置,因此没有必要再做修改。

值得注意的是,问题与MyAPNIC登录凭证毫无关联,因此,不必修改MyAPNIC密码。如果用户通过电子邮件更新Maintainer,APNIC建议使用PGP加密。

APNIC正在进行事件后审查,以了解过程细节并部署改进举措防止此类事件再次发生。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。