Výzkumníci z laboratoří watchTowr zveřejnili výsledky experimentu, který zneužil starší službu WHOIS registrátora domény .MOBI. Studie byla podnícena změnou adresy WHOIS registrátora, kdy ji přesunul z whois.dotmobiregistry.net na nového hostitele, whois.nic.mobi. Mezitím byla doména dotmobiregistry.net vyřazena z provozu a uvolněna v prosinci 2023, čímž se zpřístupnila k registraci.
Výzkumníci utratili 20 dolarů a tuto doménu zakoupili, poté na svém serveru spustili vlastní falešnou službu WHOIS s názvem whois.dotmobiregistry.net. Překvapivě mnoho systémů nepřešlo na nového hostitele whois.nic.mobi, ale nadále používaly starý název. Od 30. srpna do 4. září letošního roku bylo zaznamenáno 2.5 milionu dotazů na starý název, odeslaných z více než 135 000 unikátních systémů.
Mezi odesílateli žádostí byli i ti, kteří zasílali poštou servery vládní a vojenské organizace, které kontrolovaly domény objevující se v e-mailech prostřednictvím WHOIS, bezpečnostní společnosti a bezpečnostní platformy (VirusTotal, Group-IB), stejně jako certifikační autority, služby ověřování domén, SEO služby a registrátoři domén (např. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io a webchart.org).
Možnost odeslat libovolná data v reakci na požadavek do staré služby WHOIS pro doménovou zónu „.MOBI“ byla zneužita k vývoji několika typů útoků proti žadatelům. První útok byl založen na předpokladu, že pokud někdo nadále požaduje dlouho nefunkční službu, pravděpodobně tak činí pomocí zastaralých nástrojů obsahujících zranitelnosti.
Například v roce 2015 byla v phpWHOIS objevena zranitelnost CVE-2015-5243, která umožňovala spuštění kódu útočníka při analýze speciálně vytvořených dat vrácených serverem WHOIS. Dalším příkladem je zranitelnost CVE-2021-32749, objevená v roce 2021 v balíčku Fail2Ban, která umožňuje spuštění externího kódu, když služba WHOIS použitá ke generování varování před blokováním vrátí chybná data (Fail2Ban určil e-mailovou adresu správce hostitele prostřednictvím WHOIS a zadal ji při spuštění příkazu mail bez správného escapování speciálních znaků).
Druhý útok se spoléhá na to, že některé certifikační autority nabízejí možnost ověřit vlastnictví domény prostřednictvím e-mailové adresy uvedené v databázi registrátora domén, přístupné přes protokol WHOIS. Ukazuje se, že několik certifikačních autorit podporujících tuto metodu ověřování nadále používá starý server WHOIS pro doménovou příponu „.MOBI“.
Útočníci tak mohou po získání kontroly nad názvem whois.dotmobiregistry.net získat jeho data, provést ověření a získat TLS certifikát pro jakoukoli doménu v zóně .MOBI.“ Například během experimentu si vědci od registrátora GlobalSign vyžádali TLS certifikát pro doménu microsoft.mobi a e-mail „whois@watchTowr.com“ vrácený fiktivní službou WHOIS se v rozhraní zobrazil jako dostupný pro odeslání ověřovacího kódu vlastnictví domény.
Zdroj: opennet.ru
