watchTowr Laboratoriyasının tədqiqatçıları .MOBI domen registratorunun köhnə WHOIS xidmətini oğurlayan eksperimentin nəticələrini dərc ediblər. Tədqiqat qeydiyyatçının WHOIS ünvanını whois.dotmobiregistry.net saytından yeni host, whois.nic.mobi-yə köçürməsi ilə şərtləndirdi. Bu arada, dotmobiregistry.net domeni istismardan çıxarıldı və 2023-cü ilin dekabrında buraxıldı və qeydiyyat üçün əlçatan oldu.
Tədqiqatçılar 20 dollar xərcləyib bu domeni satın aldılar, sonra öz serverlərində öz saxta WHOIS xidmətini, whois.dotmobiregistry.net-i işə saldılar. Təəccüblüdür ki, bir çox sistemlər yeni host olan whois.nic.mobi-yə keçməyib, köhnə addan istifadə etməyə davam ediblər. Bu il avqustun 30-dan sentyabrın 4-dək köhnə adla bağlı 2.5 milyon sorğu qeydə alınıb, 135 000-dən çox unikal sistemdən göndərilib.
Sorğu göndərənlər arasında poçt göndərənlər də var idi serverlər WHOIS, təhlükəsizlik şirkətləri və təhlükəsizlik platformaları (VirusTotal, Group-IB), eləcə də sertifikatlaşdırma orqanları, domen yoxlama xidmətləri, SEO xidmətləri və domen qeydiyyatçıları (məsələn, domain.com, godaddy.com, who.is, whois.ru, smalleseo.tools, seocheki.net, centralops.net, name.com, urlscan.io və webchart.org) vasitəsilə elektron poçtlarda görünən domenləri yoxlayan hökumət və hərbi təşkilatlar.
".MOBI" domen zonası üçün köhnə WHOIS xidmətinə edilən sorğuya cavab olaraq istənilən məlumatı göndərmək imkanı sorğu edənlərə qarşı bir neçə növ hücum yaratmaq üçün istifadə edilmişdir. İlk hücum belə bir fərziyyəyə əsaslanırdı ki, əgər kimsə çoxdan ölmüş xidmətə müraciət etməyə davam edərsə, ehtimal ki, bunu zəiflikləri ehtiva edən köhnəlmiş alətlərdən istifadə edir.
Məsələn, 2015-ci ildə phpWHOIS-də CVE-2015-5243 zəifliyi aşkar edilib ki, bu da WHOIS serveri tərəfindən qaytarılmış xüsusi hazırlanmış məlumatların təhlili zamanı təcavüzkar kodunu icra etməyə imkan verir. Başqa bir misal, 2021-ci ildə Fail2Ban paketində aşkar edilmiş CVE-2021-32749 zəifliyidir ki, bu da bloklama xəbərdarlığı yaratmaq üçün istifadə edilən WHOIS xidməti tərəfindən səhv məlumatların qaytarılması zamanı xarici kodun icrasına imkan verir (Fail2Ban WHOIS vasitəsilə host administratorunun e-poçt ünvanını təyin etdi və onu xüsusi poçt simvolları ilə düzgün işləmədən təyin etdi).
İkinci hücum WHOIS protokolu vasitəsilə əldə oluna bilən domen qeydiyyatçısının verilənlər bazasında qeyd olunan e-poçt ünvanı vasitəsilə domen sahibliyini yoxlamaq imkanı təklif edən bəzi CA-lara əsaslanır. Məlum olub ki, bu yoxlama metodunu dəstəkləyən bir neçə CA ".MOBI" domen uzantısı üçün köhnə WHOIS serverindən istifadə etməyə davam edir.
Beləliklə, whois.dotmobiregistry.net adı üzərində nəzarəti ələ keçirən təcavüzkarlar məlumatlarını geri ala, yoxlama apara və əldə edə bilərlər TLS sertifikatı ".MOBI zonasındakı istənilən domen üçün." Məsələn, təcrübə zamanı tədqiqatçılar GlobalSign qeydiyyatçısından microsoft.mobi domeni üçün TLS sertifikatı tələb etdilər və uydurma WHOIS xidməti tərəfindən qaytarılan "whois@watchTowr.com" e-poçtu interfeysdə domen sahibliyi təsdiqləmə kodunu göndərmək üçün mövcud kimi göstərildi.
Mənbə: opennet.ru
