Gipatik sa mga tigdukiduki gikan sa watchTowr Labs ang mga resulta sa usa ka eksperimento nga nag-hijack sa karaang serbisyo sa WHOIS sa .MOBI domain registrar. Ang pagtuon giaghat sa pag-ilis sa registrar sa WHOIS address, nga nagbalhin niini gikan sa whois.dotmobiregistry.net ngadto sa usa ka bag-ong host, ang whois.nic.mobi. Samtang, ang dotmobiregistry.net domain gi-decommission ug gibuhian niadtong Disyembre 2023, nga naghimo niini nga magamit alang sa pagparehistro.
Ang mga tigdukiduki migasto og $20 ug gipalit kini nga domain, dayon gilunsad ang ilang kaugalingong peke nga serbisyo sa WHOIS, ang whois.dotmobiregistry.net, sa ilang server. Katingalahan, daghang mga sistema ang wala mobalhin sa bag-ong host, ang whois.nic.mobi, apan nagpadayon sa paggamit sa daang ngalan. Gikan sa Agosto 30 hangtod Septyembre 4 ning tuiga, 2.5 milyon nga mga pangutana alang sa daang ngalan ang natala, nga gipadala gikan sa kapin sa 135 ka talagsaon nga mga sistema.
Lakip sa mga nagpadala sa mga hangyo mao ang mga koreo mga server mga organisasyon sa gobyerno ug militar nga nagsusi sa mga domain nga makita sa mga email pinaagi sa WHOIS, mga kompanya sa seguridad ug mga plataporma sa seguridad (VirusTotal, Group-IB), ingon man mga awtoridad sa sertipikasyon, mga serbisyo sa pag-verify sa domain, mga serbisyo sa SEO, ug mga registrar sa domain (pananglitan, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, ug webchart.org).
Ang abilidad sa pagpadala og bisan unsang datos isip tubag sa usa ka hangyo ngadto sa daang serbisyo sa WHOIS para sa ".MOBI" domain zone gipahimuslan aron makahimo og daghang klase sa mga pag-atake batok sa mga nangayo. Ang unang pag-atake gibase sa pangagpas nga kon adunay magpadayon sa paghangyo sa dugay nang patay nga serbisyo, lagmit gibuhat nila kini gamit ang karaan nga mga himan nga adunay mga kahuyangan.
Pananglitan, niadtong 2015, ang kahuyangan nga CVE-2015-5243 nadiskobrehan sa phpWHOIS, nga nagtugot sa pagpatuman sa attacker code sa pag-parse sa espesyal nga gihimo nga datos nga gibalik sa WHOIS server. Laing pananglitan mao ang kahuyangan nga CVE-2021-32749, nga nadiskobrehan niadtong 2021 sa Fail2Ban package, nga nagtugot sa external code execution sa dihang ang sayop nga porma nga datos gibalik sa WHOIS service nga gigamit sa pagmugna og blocking warning (Gitino sa Fail2Ban ang email address sa host administrator pinaagi sa WHOIS ug gipiho kini sa dihang gipadagan ang mail command nga wala’y hustong pag-ikyas sa mga espesyal nga karakter).
Ang ikaduhang pag-atake nagsalig sa pipila ka mga CA nga nagtanyag sa abilidad sa pag-verify sa pagpanag-iya sa domain pinaagi sa usa ka email address nga gilista sa database sa domain registrar, nga ma-access pinaagi sa WHOIS protocol. Migawas nga daghang mga CA nga nagsuporta niini nga pamaagi sa pag-verify ang nagpadayon sa paggamit sa daan nga WHOIS server alang sa ".MOBI" domain extension.
Busa, human makontrolar ang ngalan nga whois.dotmobiregistry.net, ang mga tig-atake makakuha sa ilang datos, makahimo og beripikasyon, ug makakuha og impormasyon. Sertipiko sa TLS para sa bisan unsang domain sa .MOBI zone." Pananglitan, atol sa eksperimento, ang mga tigdukiduki nangayo og TLS certificate para sa microsoft.mobi domain gikan sa GlobalSign registrar, ug ang email nga "whois@watchTowr.com" nga gibalik sa hinimo-himo nga WHOIS service gipakita sa interface isip magamit para sa pagpadala og domain ownership verification code.
Source: opennet.ru
