Изследователи от watchTowr Labs публикуваха резултатите от експеримент, включващ улавяне на остаряла WHOIS услуга от регистратор на домейн зона .MOBI. Причината за проучването беше, че регистраторът промени адреса на услугата WHOIS, премествайки го от домейна whois.dotmobiregistry.net към новия хост whois.nic.mobi. В същото време домейнът dotmobiregistry.net престана да се използва и през декември 2023 г. беше пуснат и стана достъпен за регистрация.
Изследователите похарчиха $20 и купиха този домейн, след което стартираха собствена фиктивна WHOIS услуга whois.dotmobiregistry.net на своя сървър. Изненадващо беше, че много системи не преминаха към новия хост whois.nic.mobi и продължиха да използват старото име. От 30 август до 4 септември тази година са регистрирани 2.5 милиона заявки за старото име, изпратени от повече от 135 хиляди уникални системи.
Сред подателите на заявки бяха пощенските сървъри правителствени и военни организации, които са проверявали домейните, появяващи се в имейли чрез WHOIS, компании за сигурност и платформи за сигурност (VirusTotal, Group-IB), както и сертифициращи органи, услуги за проверка на домейни, SEO услуги и регистратори на домейни (напр. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io и webchart.org).
Възможността за изпращане на всякакви данни в отговор на заявка към старата услуга WHOIS на домейн зоната .MOBI беше използвана за разработване на няколко типа атаки срещу заявители. Първата атака се основаваше на предположението, че ако някой продължи да изпраща заявки до отдавна заменена услуга, тогава той вероятно го прави, използвайки остарели инструменти, съдържащи уязвимости.
Например, през 2015 г. уязвимостта CVE-2015-5243 беше идентифицирана в phpWHOIS, която позволява изпълнението на кода на атакуващ при анализиране на специално форматирани данни, върнати от WHOIS сървъра. Друг пример е уязвимостта CVE-2021-2021, идентифицирана през 32749 г. в пакета Fail2Ban, която позволява изпълнението на външен код, когато се върнат неправилни данни от услугата WHOIS, използвана в процеса на генериране на предупреждение за блокиране (Fail2Ban определи имейла на администратора на хоста чрез WHOIS и го посочи при изпълнение на командата mail без правилно екраниране на специални знаци).
Втората атака се основава на факта, че някои сертифициращи органи предоставят възможност за проверка на собствеността върху домейн чрез имейл, посочен в базата данни на регистратора на домейни, достъпна чрез протокола WHOIS. Оказа се, че няколко сертифициращи органи, които поддържат този метод за проверка, продължават да използват стария WHOIS сървър за домейн зоната “.MOBI”.
По този начин, след като са получили контрол над името whois.dotmobiregistry.net, нападателите могат да извлекат данните им, да извършат проверка и да получат TLS сертификат За всеки домейн в зоната .MOBI.“ Например, по време на експеримента, изследователите поискали TLS сертификат за домейна microsoft.mobi от регистратора на GlobalSign и имейлът „whois@watchTowr.com“, върнат от фиктивната WHOIS услуга, бил показан в интерфейса като наличен за изпращане на код за потвърждение на собствеността на домейна.
Източник: opennet.ru
