Даследнікі з кампаніі watchTowr Labs апублікавалі вынікі эксперыменту з захопам састарэлага WHOIS-сэрвісу рэгістратара даменнай зоны ". MOBI". Падставай для даследавання паслужыла тое, што рэгістратар памяняў адрас WHOIS-сэрвісу, перамясціўшы яго з дамена whois.dotmobiregistry.net на новы хост whois.nic.mobi. Пры гэтым дамен dotmobiregistry.net перастаў выкарыстоўвацца і ў снежні 2023 года быў вызвалены і стаў даступны для рэгістрацыі.
Даследнікі выдаткавалі 20 даляраў і купілі гэты дамен, пасля чаго на сваім серверы запусцілі ўласны фіктыўны WHOIS-сэрвіс whois.dotmobiregistry.net. Здзіўленне выклікала тое, што многія сістэмы не пераключыліся новы хост whois.nic.mobi на працягвалі выкарыстоўваць старое імя. З 30 жніўня па 4 верасня гэтага года было зафіксавана 2.5 млн запытаў па старым імі, адпраўленых з больш за 135 тысяч унікальных сістэм.
Сярод адпраўшчыкаў запытаў прысутнічалі паштовыя серверы дзяржаўных і ваенных арганізацый, якія правяралі якія фігуруюць у email дамены праз WHOIS, якія спецыялізуюцца на бяспецы кампаніі і платформы забеспячэння бяспекі (VirusTotal, Group-IB), а таксама якія сведчаць цэнтры, сэрвісы праверкі даменаў, SEO-сэрвісы і рэгістратары даменаў (напрыклад, domain.com, godaddy.com, whois, whois. seocheki.net, centralops.net, name.com, urlscan.io і webchart.org).
Магчымасць адпраўляць любыя дадзеныя ў адказ на зварот да старога WHOIS-сэрвісу даменнай зоны «.MOBI» была скарыстана для распрацоўкі некалькіх выглядаў нападаў на адпраўнікоў запытаў. Першы варыянт нападу засноўваўся на здагадцы, што калі хтосьці працягвае адпраўляць запыты да даўно замененага сэрвісу, то верагодна ён робіць гэта з выкарыстаннем састарэлага інструментара, які змяшчае ўразлівасці.
Напрыклад, у phpWHOIS у 2015 годзе была выяўленая ўразлівасць CVE-2015-5243, якая дазваляе дамагчыся выкананні кода атакавалага пры разборы адмыслова аформленых дадзеных, якія вяртаюцца серверам WHOIS. Іншым прыкладам з'яўляецца выяўленая ў 2021 годзе ўразлівасць CVE-2021-32749 у пакеце Fail2Ban, якая дазваляе выканаць вонкавы код пры вяртанні некарэктных дадзеных WHOIS-сэрвісам, выкарыстоўваным падчас фармавання папярэджання аб блакаванні (Fail2Ban вызначаў праз WHO email mail без належнага экранавання спецзнакаў).
Другі напад заснаваная на тым, што некаторыя якія сведчаць цэнтры падаюць магчымасць верыфікацыі валодання даменам праз email, паказаны ў базе рэгістратара дамена, даступнай праз пратакол WHOIS. Аказалася, што некалькі якія сведчаць цэнтраў з падтрымкай такога метаду праверкі працягваюць выкарыстоўваць стары WHOIS-сервер для даменнай зоны ". MOBI".
Такім чынам, атрымаўшы кантроль над імем whois.dotmobiregistry.net атакавалыя могуць вярнуць свае дадзеныя, выканаць пацверджанне і атрымаць TLS-сертыфікат для любога дамена ў зоне .MOBI». Напрыклад, падчас эксперыменту даследнікі запыталі ў рэгістратара GlobalSign TLS-сертыфікат для дамена microsoft.mobi і вернуты фіктыўным WHOIS-сэрвісам email "whois@watchTowr.com" быў паказаны ў інтэрфейсе як даступны для адпраўкі кода пацверджання валодання даменам.
Крыніца: opennet.ru
