የwatchTowr Labs ተመራማሪዎች ጊዜ ያለፈበት የWHOIS አገልግሎት ከ.MOBI ጎራ ዞን ሬጅስትራር መያዝን የሚያካትት የሙከራ ውጤቶችን አሳትመዋል። የጥናቱ ምክንያት ሬጅስትራር የWHOIS አገልግሎት አድራሻን በመቀየር ከዊይስ.dotmobiregistry.net ጎራ ወደ አዲሱ አስተናጋጅ whois.nic.mobi በማዛወር ነው። በተመሳሳይ ጊዜ፣ dotmobiregistry.net ጎራ ጥቅም ላይ መዋል አቆመ እና በታህሳስ 2023 ተለቀቀ እና ለምዝገባ ዝግጁ ሆነ።
ተመራማሪዎቹ 20 ዶላር አውጥተው ይህንን ጎራ ገዙ፣ ከዚያ በኋላ የራሳቸውን ምናባዊ WHOIS አገልግሎት በአገልጋያቸው ላይ whois.dotmobiregistry.net ጀመሩ። የሚያስደንቀው ነገር ብዙ ስርዓቶች ወደ አዲሱ አስተናጋጅ whois.nic.mobi አለመቀየሩ እና የድሮውን ስም መጠቀማቸውን መቀጠላቸው ነው። በዚህ አመት ከኦገስት 30 እስከ ሴፕቴምበር 4 ድረስ ከ 2.5 ሺህ በላይ ልዩ ስርዓቶች ለቀድሞው ስም 135 ሚሊዮን ጥያቄዎች ተመዝግበዋል.
ከጥያቄዎቹ ላኪዎች መካከል የፖስታ አገልግሎት ሰጪዎች ይገኙበታል አገልጋዮች በWHOIS፣ በደህንነት ኩባንያዎች እና በደህንነት መድረኮች (VirusTotal፣ Group-IB) በኢሜይሎች ውስጥ የሚታዩትን ጎራዎች የፈተሹ የመንግስት እና የወታደራዊ ድርጅቶች፣ እንዲሁም የምስክር ወረቀት ባለስልጣናት፣ የጎራ ማረጋገጫ አገልግሎቶች፣ የSEO አገልግሎቶች እና የጎራ መዝጋቢዎች (ለምሳሌ፣ domain.com፣ godaddy.com፣ who.is፣ whois.ru፣ smallseo.tools፣ seocheki.net፣ centralops.net፣ name.com፣ urlscan.io እና webchart.org)።
ለቀድሞው የWHOIS አገልግሎት የ .MOBI ጎራ ዞን ለቀረበለት ጥያቄ ማንኛውንም ውሂብ የመላክ ችሎታ በጠያቂዎች ላይ በርካታ አይነት ጥቃቶችን ለመፍጠር ጥቅም ላይ ውሏል። የመጀመሪያው ጥቃት አንድ ሰው ለረጅም ጊዜ ለተተካ አገልግሎት ጥያቄዎችን መላክ ከቀጠለ፣ ተጋላጭነቶችን የያዘ ጊዜ ያለፈበት መሳሪያ በመጠቀም ሊያደርጉ ይችላሉ በሚል ግምት ነው።
ለምሳሌ፣ በPHPWHOIS በ2015፣ የCVE-2015-5243 ተጋላጭነት ተለይቷል፣ ይህም በአጥቂ ኮድ በWHOIS አገልጋይ የተመለሰ ልዩ ቅርጸት ያለው መረጃ ሲተነተን እንዲፈፀም ያስችላል። ሌላው ምሳሌ በ 2021 በ Fail2021Ban ጥቅል ውስጥ የተገለጸው የተጋላጭነት CVE-32749-2 ሲሆን ይህም የተሳሳተ መረጃ ሲመለስ የውጪ ኮድ እንዲፈፀም የሚፈቅድ በWHOIS አገልግሎት የማገድ ማስጠንቀቂያ በማመንጨት ሂደት ላይ ነው (Fail2Ban የአስተናጋጁን አስተዳዳሪ ኢሜይል ወሰነ በ WHOIS በኩል እና ልዩ ቁምፊዎችን በትክክል ሳያመልጡ የትእዛዝ መልእክቱን ሲያሄዱ ይግለጹ)።
ሁለተኛው ጥቃት አንዳንድ የእውቅና ማረጋገጫ ባለሥልጣኖች የጎራ ባለቤትነትን በWHOIS ፕሮቶኮል በኩል ተደራሽ በሆነው በጎራ ሬጅስትራር ዳታቤዝ ውስጥ በተጠቀሰው ኢሜል የማረጋገጥ ችሎታ ስለሚሰጡ ነው። ይህን የማረጋገጫ ዘዴ የሚደግፉ በርካታ የእውቅና ማረጋገጫ ባለስልጣናት የድሮውን የWHOIS አገልጋይ ለ".MOBI" ጎራ ዞን መጠቀማቸውን ቀጥለዋል።
ስለዚህ፣ whois.dotmobiregistry.net የሚለውን ስም በመቆጣጠር አጥቂዎች ውሂባቸውን ማግኘት፣ ማረጋገጥ እና ማግኘት ይችላሉ። የቲኤልኤስ የምስክር ወረቀት በ.MOBI ዞን ውስጥ ላለ ለማንኛውም ጎራ።" ለምሳሌ፣ በሙከራው ወቅት ተመራማሪዎቹ ከ GlobalSign መዝጋቢ ለ microsoft.mobi ጎራ የ TLS ሰርተፊኬት ጠይቀዋል፣ እና "whois@watchTowr.com" የሚለው ኢሜይል በ"WHOIS" አገልግሎት የተመለሰው በይነገጹ ላይ የጎራ ባለቤትነት ማረጋገጫ ኮድ ለመላክ እንደተገኘ ታይቷል።
ምንጭ: opennet.ru
