نشر باحثون من watchTowr Labs نتائج تجربة تتضمن الاستيلاء على خدمة WHOIS قديمة من مسجل منطقة النطاق .MOBI. وكان سبب الدراسة هو أن المسجل قام بتغيير عنوان خدمة WHOIS، ونقله من النطاق whois.dotmobiregistry.net إلى المضيف الجديد whois.nic.mobi. وفي الوقت نفسه، توقف استخدام النطاق dotmobiregistry.net وفي ديسمبر 2023 تم إصداره وأصبح متاحًا للتسجيل.
أنفق الباحثون 20 دولارًا واشتروا هذا النطاق، وبعد ذلك أطلقوا خدمة WHOIS الوهمية الخاصة بهم whois.dotmobiregistry.net على الخادم الخاص بهم. ما كان مفاجئًا هو أن العديد من الأنظمة لم تتحول إلى المضيف الجديد whois.nic.mobi واستمرت في استخدام الاسم القديم. وفي الفترة من 30 أغسطس إلى 4 سبتمبر من هذا العام، تم تسجيل 2.5 مليون طلب للاسم القديم، تم إرسالها من أكثر من 135 ألف نظام فريد.
وكان من بين مرسلي الطلبات البريد الخوادم المنظمات الحكومية والعسكرية التي تحققت من النطاقات التي تظهر في رسائل البريد الإلكتروني عبر WHOIS، وشركات الأمن ومنصات الأمن (VirusTotal، Group-IB)، بالإضافة إلى سلطات التصديق، وخدمات التحقق من النطاقات، وخدمات تحسين محركات البحث، ومسجلي النطاقات (على سبيل المثال، domain.com، godaddy.com، who.is، whois.ru، smallseo.tools، seocheki.net، centralops.net، name.com، urlscan.io، وwebchart.org).
تم استخدام القدرة على إرسال أي بيانات استجابةً لطلب إلى خدمة WHOIS القديمة لمنطقة نطاق .MOBI لتطوير عدة أنواع من الهجمات على مقدمي الطلبات. استند الهجوم الأول إلى افتراض أنه إذا استمر شخص ما في إرسال طلبات إلى خدمة تم استبدالها منذ فترة طويلة، فمن المحتمل أن يفعل ذلك باستخدام أدوات قديمة تحتوي على ثغرات أمنية.
على سبيل المثال، في phpWHOIS في عام 2015، تم تحديد الثغرة الأمنية CVE-2015-5243، والتي تسمح بتنفيذ تعليمات برمجية للمهاجم عند تحليل البيانات ذات التنسيق الخاص التي يتم إرجاعها بواسطة خادم WHOIS. مثال آخر هو الثغرة الأمنية CVE-2021-2021 التي تم تحديدها في عام 32749 في حزمة Fail2Ban، والتي تسمح بتنفيذ تعليمات برمجية خارجية عند إرجاع بيانات غير صحيحة بواسطة خدمة WHOIS المستخدمة في عملية إنشاء تحذير الحظر (حدد Fail2Ban البريد الإلكتروني لمسؤول المضيف عبر WHOIS وحدده عند تشغيل بريد الأوامر دون الهروب المناسب من الأحرف الخاصة).
يعتمد الهجوم الثاني على حقيقة أن بعض سلطات التصديق توفر القدرة على التحقق من ملكية النطاق من خلال البريد الإلكتروني المحدد في قاعدة بيانات مسجل النطاق، والتي يمكن الوصول إليها عبر بروتوكول WHOIS. اتضح أن العديد من هيئات التصديق التي تدعم طريقة التحقق هذه تستمر في استخدام خادم WHOIS القديم لمنطقة المجال ".MOBI".
وبذلك، بعد أن تمكن المهاجمون من السيطرة على اسم النطاق whois.dotmobiregistry.net، يمكنهم استرداد بياناتهم وإجراء التحقق والحصول على شهادة TLS لأي نطاق في منطقة .MOBI." على سبيل المثال، خلال التجربة، طلب الباحثون شهادة TLS لنطاق microsoft.mobi من مسجل GlobalSign، وتم عرض البريد الإلكتروني "whois@watchTowr.com" الذي أعادته خدمة WHOIS الوهمية في الواجهة على أنه متاح لإرسال رمز التحقق من ملكية النطاق.
المصدر: opennet.ru
