حمله‌ی هموگراف روز-صفرم نام دامنه

آن‌چه به عنوان تحقیقات نه چندان جدی در ماه نوامبر سال ۲۰۱۹ میلادی آغاز شد و در ماه نوامبر و دسامبر سال ۲۰۱۹ میلادی و ماه ژانویه‌ی سال ۲۰۲۰ میلادی به‌عنوان یک آسیب‌پذیری به شرکت‌های مختلف گزارش شد، مجدداً در ۱۳ فوریه‌ی سال ۲۰۲۰ میلادی به‌عنوان یک آسیب‌پذیری روز-صفرم طبقه‌بندی شد.

این آسیب‌پذیری توانایی ثبت نام‌های دامنه‌ی جعلی دقیق است که به عنوان یک حمله‌ی هموگراف شناخته می‌شود و سال‌هاست که وجود دارد. این حملات ساده تلاش می‌کنند تا یک نام دامنه را بااستفاده از کاراکترهای لاتین مشابه ثبت کنند، به‌عنوان مثال نام دامنه را G00GLE.COM ثبت می‌کنند تا شبیه GOOGLE.COM به نظر برسد و احتمالاً از یک دامنه‌ی جعلی که با موفقیت ثبت شده است، به‌عنوان یک وب‌گاه فیشینگ مخرب استفاده می‌شود. ضعف موجود در این حمله این است که یک چشم تیزبین به‌راحتی می‌تواند کاراکترهای لاتین را تشخیص دهد و نام‌های تجاری بزرگ برای حفظ امنیت خود شبیه‌ترین نام‌های دامنه را ثبت کرده‌اند.

حملات پیشرفته‌تر تلاش کرده‌اند تا کاراکترهای لاتین را با کاراکترهای متفاوت، اما دقیقاً مشابه از مجموعه کاراکترهای زبان‌های مختلف ترکیب کنند. برای خنثی کردن چنین حملاتی، ICANN سیاستی دارد که هر TLD بین‌المللی بالقوه را از انتخاب حروفی که ممکن است شبیه یک TLD لاتین باشد، منع می‌کند. این سیاست می‌تواند از حملات هموگراف پیشرفته‌تر نیز جلوگیری کند، اما مَت همیلتن، پژوهش‌گری با تخصص DevSecOps  می‌خواست به دنبال یافتن پاسخی برای این سوال بود که آیا می‌توان از کاراکترهای هموگراف در نام زیردامنه‌ها استفاده کرد یا خیر؟ پژوهش او نشان داد که می‌توان استفاده کرد.

این مسأله به‌عنوان یک آسیب‌پذیری به آمازون، گوگل، Wasabi، Verisign و DigitalOcean گزارش داد. تاکنون تنها آمازون و Verisign برای آن وصله منتشر کرده‌اند. گوگل و Wasabi دریافت گزارش این آسیب‌پذیری را تأیید کردند، اما پاسخی ندادند. DigitalOcean نیز دریافت این گزارش را در ماه ژانویه تأیید کرد اما در ماه فوریه پاسخ داد که درحال‌حاضر این آسیب‌پذیری را یک خطر بسیار ضعیف برای کاربران خود می‌داند.

بااین‌حال، حدود یک هفته بعد، همیلتن دیدگاه خود را درباره‌ی این مسأله از یک «آسیب‌پذیری» به «آسیب‌پذیری روز-صفرم» تغییر داد و به Verisign، گوگل، آمازون، Wasabi و DigitalOcean اطلاع داد که هفت روز فرصت دارند تا این مسأله را قبل از افشای عمومی رفع کنند. Verisign این مسأله را به رسمیت شناخت و خواستار زمان بیشتری برای رفع آن شد و درنتیجه این مهلت زمانی تمدید شد.

دلیل تغییر وضعیت این آسیب‌پذیری به آسیب‌پذیری روز-صفرم دو مورد بود. دلیل اول این بود که همیلتن طیفی از ۲۷ دامنه‌ی نام تجاری بزرگ را بااستفاده از کاراکترهای هموگراف IPA Extension ثبت کرد که از نام‌های دامنه‌ی اصلی قابل تشخیص نبودند.

همیلتن همچنین اسکریپتی را توسعه داد که تحریف دامنه بااستفاده از کاراکترهای هموگراف را تسهیل می‌کند و درنتجیه به یافتن چنین دامنه‌هایی که قبلاً ثبت شده‌اند، کمک می‌کند. وی کشف کرد که از سال ۲۰۱۷ میلادی تا کنون، اشخاص ثالث با استفاده از این روش هموگراف، برای ۱۵ مورد از ۳۰۰ دامنه‌ی آزمایش‌شده گواهی‌نامه‌ی HTTPS ثبت و ایجاد کرده‌اند. علاوه‌برآن، یک نمونه از دامنه‌ی هموگراف کشف کرد که یک کتابخانه‌ی غیررسمی و مخرب jQuery را میزبانی می‌کرد.

درنتیجه این فقط یک آسیب‌پذیری نیست، بلکه یکی از مواردی است که طی چند سال اخیر به‌طور جدی مورد استفاده قرار است. همیلتن معتقد است که این آسیب‌پذیری تنها در پویش‌های مهندسی اجتماعی بسیار هدفمند مورد استفاده قرار گرفته است. طبق گزارش‌های CT و تغییرات اخیر مرورگر در مدیریت یونیکد در آدرس‌های اینترنتی، سوء‌استفاده از این آسیب‌پذیری احتمالاً در ۳ سال قبل شایع‌تر از اکنون بوده است.

تنها آمازون و Versign این مسأله را رفع کرده‌اند تا از سوء‌استفاده‌های آینده جلوگیری کند. Verisign اظهار داشت که اگرچه به این مسأله واقف است که ICANN در مسیر درستی برای رفع این مسائل در سطح جهانی قرار گرفته است، اما سیستم‌های خود را به‌طور فعال به‌روزرسانی کرده است و تأییدهای لازم را برای اعمال تغییرات در دامنه‌های سطح بالای .com و .net به‌منظور جلوگیری از ثبت دامنه‌های هموگراف گمراه‌کننده، از ICANN کسب کرده است.

منبع