WPAD protokol ranjivost - wpad.rs bio dostupan, nije rezervisan od strane RNIDSa

[milos_rs]

Prenosim objavu Ratomira Jovanovića sa LinkedIn-a :

Takođe se može saznati više na samom sajtu wpad.rs

Dok sam istraživao sajber bezbednost, otkrio sam ranjivost WPAD protokola (Web Proxy Auto-Discovery). WPAD omogućava uređajima automatsko otkrivanje proxy servera, ali ako dospe u pogrešne ruke, može otvoriti put hakerima da nadgledaju saobraćaj.

Iz radoznalosti, proverio sam da li je domen wpad.rs dostupan – i bio je. Brzo sam ga kupio, svesno da ovaj domen može biti opasan alat u rukama hakera. Ipak, otkrio sam da je domen prvi put registrovan 2018. godine i tokom tog perioda promenio vlasnika čak 16 puta. Ova istorija vlasništva može ukazivati na mogućnost da je WPAD.rs ranije bio korišćen u zlonamerne svrhe, možda čak za WPAD napade. Kroz mali korak, postao sam vlasnik ovog domena i zaštitio mnoge korisnike u Srbiji.

Kako funkcioniše WPAD napad?

Svaki put kada se vaš uređaj povezuje na internet, traži “mapu” sa instrukcijama. Obično dobije ispravnu mapu, ali ako je domen WPAD.rs pod kontrolom hakera, on može poslati lažne informacije koje preusmeravaju vaš saobraćaj kroz hakerski server, omogućavajući mu da prati vaše aktivnosti.

Ko je ugrožen?

• Obični korisnici: Svaki put kada šaljete podatke ili unosite lozinke, haker ih može presresti, kao da vam “gleda preko ramena.”
• Firme i kompanije: Hakeri mogu pratiti interne komunikacije, poslovne planove i finansijske transakcije, što može dovesti do značajnih šteta.
• Državne institucije: Pristup osetljivim podacima građana može ugroziti sigurnost države.

Šta sam uradio da osiguram WPAD.rs?

Nakon kupovine, kreirao sam wpad.dat fajl koji svim uređajima koji pristupe WPAD.rs daje instrukciju da se direktno povezuju na internet, bez preusmeravanja.

Koliko je ozbiljna pretnja?

WPAD napad nije samo lokalna pretnja. Svi uređaji povezani na mreže sa .rs domenom mogu biti ugroženi. Protok WPAD može omogućiti hakerima da tiho prate ili manipulišu saobraćajem u Srbiji.

Kako možemo sprečiti buduće napade?

1. Etika vlasništva: Domen treba da bude u rukama odgovornog entiteta sa visokim etičkim standardima.
2. Kontrola nadležnih institucija: RNIDS ili Uprava za visokotehnološki kriminal mogu preuzeti kontrolu nad ovakvim domenima radi veće sigurnosti građana Srbije.

Spreman sam da ustupim domen WPAD.rs nadležnim institucijama, jer moj cilj je da internet bude sigurno mesto za sve.
---------
"Mene ako se sete na Dan Bezbednosti sete se, ako se ne setenikom ništa, to je bila moja dužnost da radim."
----------

Hvala Vladimir Cicović na savetima i podršci!

Uglavnom, RNIDS zajedno sa CERTom nisu rezervisali ovaj domen iako su trebali i imaju mogućnost za to preko rezervisanih nazivima domena

Dodao bih i ovaj komentar autora:

Iako bi WPAD protokol u teoriji trebalo da “poštuje” granice organizacije, u praksi je situacija često drugačija. Prema standardima, uređaji bi zaista trebalo da traže WPAD konfiguraciju samo unutar granica organizacije (obično lokalni DNS ili mrežni server), ali u realnim uslovima, mnogi uređaji, posebno na javnim mrežama ili sa nepropisno podešenim mrežnim postavkama, mogu završiti slanjem zahteva ka top-level domenima kao što je wpad.rs.

Tokom 17 sati (ako se ne varam, kada sam poslednji put gledao logove sa servera), moj server je zabeležio više od 10.000 zahteva za preuzimanje wpad.dat fajla, od čega su zahtevi dolazili ne samo iz Srbije, već i sa međunarodnih IP adresa. To pokazuje da mnogi uređaji, zbog različitih mrežnih konfiguracija ili nesigurnih postavki, automatski pokušavaju da pristupe WPAD konfiguraciji na ovom domenu.

Nažalost, ovo nepoštovanje granica organizacije se dešava češće nego što standardi predviđaju, posebno u nesigurnim ili javnim mrežama, što ovu ranjivost čini relevantnom i na nivou TLD-ova poput .rs.

WPAD dokumentacija definiše kako bi ovaj protokol trebalo da funkcioniše, ali, kao što praksa pokazuje, nepoštovanje standarda često dovodi do neočekivanih posledica.

[milos_rs]

Šta sam još iskopao o istoriji ovog domena:

2017-2018 je imao sajt koji je izgledao ovako:

   

Kao da je neko mislio "Windows pad - wpad.rs". Šta je zaista bilo u pozadini ne mogu da znam, može biti da je ovo bio samo izlog a u pozadini je skupljao podatke preko WPAD ranjivosti, ovaj period mi deluje najsumnjivije.

31.12.2021. redirektovao je na ww82.wpad.rs

   

06.01.2022. postojao je secure.wpad.rs koji je redirektovao na ww92.secure.wpad.rs

ovde imamo i IP adresu 208.91.197.245

   

Ovo redirektovanje mi deluje na domain parking ili neki marketing fazon, viđam često na domenima i  ne deluje mi maliciozno, ali samo mogu da špekulišem.

ima i sačuvan izvorni kod sajta za 06.01.2022. :

Code:

<!DOCTYPE html><html><head><script type="text/javascript" language="javascript">
try
        {
            var rurl = 'https://subscribe.financeflick.com/?skipEmail=1&q=&tp1=9POY5H81Z&tp2=wpad.rs&tp3=lve&custom_tags=%7B%22merge_pid%22%3A%22%22%2C%22gcat%22%3Anull%7D';
            var _dfltmsg = '<div align=center><h3>Error. Page cannot be displayed. Please contact your service provider for more details.  (28)</h3></div>';
            var i = "chrome" in window &&  'PushManager' in window && 'Notification' in window,
            o = /Firefox[\/\s](\d+\.\d+)/.test(navigator.userAgent) &&  'PushManager' in window && 'Notification' in window;
            if(i || o)
                window.top.location.replace(rurl);
            else
                document.write(_dfltmsg);
        } catch(exception) {
            document.write("This page has moved, <A HREF='https://subscribe.financeflick.com/?skipEmail=1&amp;q=&amp;tp1=9POY5H81Z&amp;tp2=wpad.rs&amp;tp3=lve&amp;custom_tags=%7B%22merge_pid%22%3A%22%22%2C%22gcat%22%3Anull%7D&amp;jserror=1'>Click here</A> to go there.");
        }
</script>
</head><body></body></html>