Istraživači iz watchTowr Labs-a objavili su rezultate eksperimenta koji uključuje hvatanje zastarjele WHOIS usluge od registratora zone domena .MOBI. Razlog za istraživanje je bio taj što je registrator promijenio adresu WHOIS servisa, premještajući je sa domene whois.dotmobiregistry.net na novi host whois.nic.mobi. Istovremeno, domen dotmobiregistry.net je prestao da se koristi i u decembru 2023. pušten je i postao dostupan za registraciju.
Istraživači su potrošili 20 dolara i kupili ovu domenu, nakon čega su na svom serveru pokrenuli vlastiti fiktivni WHOIS servis whois.dotmobiregistry.net. Ono što je bilo iznenađujuće je da mnogi sistemi nisu prešli na novi host whois.nic.mobi i nastavili su koristiti stari naziv. Od 30. avgusta do 4. septembra ove godine zabilježeno je 2.5 miliona zahtjeva za starim imenom, upućenih sa više od 135 hiljada jedinstvenih sistema.
Među pošiljaocima zahtjeva bili su i oni koji su poslali poštu serveri vladine i vojne organizacije koje su provjeravale domene koje se pojavljuju u e-porukama putem WHOIS-a, sigurnosne kompanije i sigurnosne platforme (VirusTotal, Group-IB), kao i tijela za certifikaciju, servisi za verifikaciju domena, SEO servisi i registratori domena (npr. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io i webchart.org).
Mogućnost slanja bilo kakvih podataka kao odgovor na zahtjev starom WHOIS servisu .MOBI domenske zone korištena je za razvoj nekoliko vrsta napada na podnosioce zahtjeva. Prvi napad se zasnivao na pretpostavci da ako neko nastavi da šalje zahteve davno zamenjenom servisu, onda će to verovatno činiti koristeći zastarele alate koji sadrže ranjivosti.
Na primjer, u phpWHOIS-u 2015. identifikovana je ranjivost CVE-2015-5243, koja omogućava izvršavanje koda napadača prilikom raščlanjivanja posebno formatiranih podataka koje vraća WHOIS server. Drugi primjer je ranjivost CVE-2021-2021 identificirana 32749. godine u paketu Fail2Ban, koja omogućava izvršavanje vanjskog koda kada WHOIS servis vrati netačne podatke koji se koristi u procesu generiranja upozorenja o blokiranju (Fail2Ban je odredio email administratora hosta preko WHOIS-a i specificirao ga prilikom pokretanja komandne pošte bez pravilnog izbjegavanja posebnih znakova).
Drugi napad je baziran na činjenici da neki autoriteti za sertifikaciju pružaju mogućnost provjere vlasništva nad domenom putem e-maila koji je naveden u bazi podataka registrara domena, kojem se pristupa putem WHOIS protokola. Ispostavilo se da nekoliko certifikacijskih tijela koja podržavaju ovu metodu verifikacije nastavljaju koristiti stari WHOIS server za „.MOBI“ domensku zonu.
Dakle, nakon što su stekli kontrolu nad imenom whois.dotmobiregistry.net, napadači mogu preuzeti njihove podatke, izvršiti verifikaciju i dobiti TLS certifikat za bilo koju domenu u .MOBI zoni." Na primjer, tokom eksperimenta, istraživači su zatražili TLS certifikat za domenu microsoft.mobi od registrara GlobalSign-a, a e-mail adresa "whois@watchTowr.com" koju je vratila fiktivna WHOIS usluga prikazana je u interfejsu kao dostupna za slanje verifikacijskog koda za vlasništvo nad domenom.
izvor: opennet.ru
