Navorsers van watchTowr Labs het die resultate van 'n eksperiment gepubliseer wat die vaslegging van 'n verouderde WHOIS-diens van 'n .MOBI-domeinsone-registrateur behels. Die rede vir die studie was dat die registrateur die WHOIS-diensadres verander het en dit van die domein whois.dotmobiregistry.net na die nuwe gasheer whois.nic.mobi geskuif het. Terselfdertyd het die dotmobiregistry.net-domein opgehou om te gebruik en in Desember 2023 is dit vrygestel en beskikbaar geword vir registrasie.
Die navorsers het $20 bestee en hierdie domein gekoop, waarna hulle hul eie fiktiewe WHOIS-diens whois.dotmobiregistry.net op hul bediener bekend gestel het. Wat verbasend was, was dat baie stelsels nie na die nuwe gasheer whois.nic.mobi oorgeskakel het nie en voortgegaan het om die ou naam te gebruik. Van 30 Augustus tot 4 September vanjaar is 2.5 miljoen versoeke vir die ou naam aangeteken, gestuur vanaf meer as 135 duisend unieke stelsels.
Onder die senders van versoeke was posbesonderhede bedieners regerings- en militêre organisasies wat die domeine wat in e-posse verskyn het, via WHOIS, sekuriteitsmaatskappye en sekuriteitsplatforms (VirusTotal, Group-IB) nagegaan het, sowel as sertifiseringsowerhede, domeinverifikasiedienste, SEO-dienste en domeinregistrateurs (bv. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io en webchart.org).
Die vermoë om enige data in reaksie op 'n versoek na die ou WHOIS-diens van die .MOBI-domeinsone te stuur, is gebruik om verskeie tipes aanvalle op versoekers te ontwikkel. Die eerste aanval was gebaseer op die aanname dat as iemand aanhou om versoeke na 'n diens wat lank vervang is te stuur, hulle dit waarskynlik doen met verouderde gereedskap wat kwesbaarhede bevat.
Byvoorbeeld, in phpWHOIS in 2015, is die CVE-2015-5243 kwesbaarheid geïdentifiseer, wat toelaat dat aanvallerkode uitgevoer word wanneer spesiaal geformateerde data ontleed word wat deur die WHOIS-bediener teruggestuur word. Nog 'n voorbeeld is die kwesbaarheid CVE-2021-2021 wat in 32749 in die Fail2Ban-pakket geïdentifiseer is, wat toelaat dat eksterne kode uitgevoer word wanneer verkeerde data teruggestuur word deur die WHOIS-diens wat gebruik word in die proses om 'n blokkeringswaarskuwing te genereer (Fail2Ban het die gasheeradministrateur se e-posadres bepaal via WHOIS en dit gespesifiseer wanneer die opdragpos uitgevoer word sonder om spesiale karakters behoorlik te ontsnap).
Die tweede aanval is gebaseer op die feit dat sommige sertifiseringsowerhede die vermoë bied om domeineienaarskap te verifieer deur middel van 'n e-pos gespesifiseer in die domeinregistrateur-databasis, toeganklik via die WHOIS-protokol. Dit het geblyk dat verskeie sertifiseringsowerhede wat hierdie verifikasiemetode ondersteun, steeds die ou WHOIS-bediener vir die ".MOBI"-domeinsone gebruik.
Dus, nadat hulle beheer oor die naam whois.dotmobiregistry.net verkry het, kan aanvallers hul data ophaal, verifikasie uitvoer en verkry TLS-sertifikaat vir enige domein in die .MOBI-sone." Byvoorbeeld, tydens die eksperiment het die navorsers 'n TLS-sertifikaat vir die microsoft.mobi-domein van die GlobalSign-registrateur aangevra, en die e-pos "whois@watchTowr.com" wat deur die fiktiewe WHOIS-diens teruggestuur is, is in die koppelvlak vertoon as beskikbaar vir die stuur van 'n domein-eienaarskap-verifikasiekode.
Bron: opennet.ru
