Investigadors de watchTowr Labs han publicat els resultats d'un experiment que implica la captura d'un servei WHOIS obsolet d'un registrador de zona de domini .MOBI. El motiu de l'estudi va ser que el registrador va canviar l'adreça del servei WHOIS, traslladant-la del domini whois.dotmobiregistry.net al nou host whois.nic.mobi. Al mateix temps, el domini dotmobiregistry.net va deixar d'utilitzar-se i el desembre de 2023 es va llançar i va estar disponible per al registre.
Els investigadors van gastar 20 dòlars i van comprar aquest domini, després del qual van llançar el seu propi servei WHOIS fictici whois.dotmobiregistry.net al seu servidor. El que va sorprendre va ser que molts sistemes no van canviar al nou host whois.nic.mobi i van continuar utilitzant el nom antic. Del 30 d'agost al 4 de setembre d'enguany, es van registrar 2.5 milions de sol·licituds per al nom antic, enviades des de més de 135 mil sistemes únics.
Entre els remitents de les sol·licituds hi havia correus servidors organitzacions governamentals i militars que van comprovar els dominis que apareixien als correus electrònics a través de WHOIS, empreses i plataformes de seguretat (VirusTotal, Group-IB), així com autoritats de certificació, serveis de verificació de dominis, serveis de SEO i registradors de dominis (per exemple, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io i webchart.org).
La possibilitat d'enviar qualsevol dada en resposta a una sol·licitud a l'antic servei WHOIS de la zona de domini .MOBI es va utilitzar per desenvolupar diversos tipus d'atacs als sol·licitants. El primer atac es va basar en el supòsit que si algú continua enviant sol·licituds a un servei substituït durant molt de temps, és probable que ho faci amb eines obsoletes que contenen vulnerabilitats.
Per exemple, a phpWHOIS l'any 2015, es va identificar la vulnerabilitat CVE-2015-5243, que permet executar codi de l'atacant quan s'analitza dades amb un format especial que retorna el servidor WHOIS. Un altre exemple és la vulnerabilitat CVE-2021-2021 identificada l'any 32749 al paquet Fail2Ban, que permet executar codi extern quan el servei WHOIS retorna dades incorrectes en el procés de generació d'un avís de bloqueig (Fail2Ban va determinar el correu electrònic de l'administrador de l'amfitrió). mitjançant WHOIS i ho va especificar quan s'executa el correu d'ordres sense escapar adequadament de caràcters especials).
El segon atac es basa en el fet que algunes autoritats de certificació ofereixen la possibilitat de verificar la propietat del domini mitjançant un correu electrònic especificat a la base de dades del registrador de dominis, accessible mitjançant el protocol WHOIS. Va resultar que diverses autoritats de certificació que admeten aquest mètode de verificació continuen utilitzant l'antic servidor WHOIS per a la zona de domini ".MOBI".
Així, havent obtingut el control del nom whois.dotmobiregistry.net, els atacants poden recuperar les seves dades, realitzar la verificació i obtenir Certificat TLS per a qualsevol domini de la zona .MOBI." Per exemple, durant l'experiment, els investigadors van sol·licitar un certificat TLS per al domini microsoft.mobi al registrador de GlobalSign, i el correu electrònic "whois@watchTowr.com" retornat pel servei WHOIS fictici es va mostrar a la interfície com a disponible per enviar un codi de verificació de la propietat del domini.
Font: opennet.ru
