Forskere fra watchTowr Labs har offentliggjort resultaterne af et eksperiment, der involverer indfangning af en forældet WHOIS-tjeneste fra en .MOBI-domænezoneregistrator. Årsagen til undersøgelsen var, at registratoren ændrede WHOIS-tjenesteadressen og flyttede den fra domænet whois.dotmobiregistry.net til den nye vært whois.nic.mobi. Samtidig ophørte domænet dotmobiregistry.net med at blive brugt, og i december 2023 blev det frigivet og blev tilgængeligt for registrering.
Forskerne brugte $20 og købte dette domæne, hvorefter de lancerede deres egen fiktive WHOIS-tjeneste whois.dotmobiregistry.net på deres server. Det overraskende var, at mange systemer ikke skiftede til den nye vært whois.nic.mobi og fortsatte med at bruge det gamle navn. Fra 30. august til 4. september i år blev der registreret 2.5 millioner anmodninger om det gamle navn, sendt fra mere end 135 tusinde unikke systemer.
Blandt afsenderne af anmodninger var postanmodninger servere Regerings- og militærorganisationer, der kontrollerede domænerne i e-mails via WHOIS, sikkerhedsvirksomheder og sikkerhedsplatforme (VirusTotal, Group-IB), samt certificeringsmyndigheder, domæneverifikationstjenester, SEO-tjenester og domæneregistratorer (f.eks. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io og webchart.org).
Evnen til at sende alle data som svar på en anmodning til den gamle WHOIS-tjeneste i .MOBI-domænezonen blev brugt til at udvikle flere typer angreb på anmodere. Det første angreb var baseret på den antagelse, at hvis nogen fortsætter med at sende anmodninger til en længe erstattet tjeneste, så gør de det sandsynligvis ved at bruge forældede værktøjer, der indeholder sårbarheder.
For eksempel, i phpWHOIS i 2015, blev CVE-2015-5243-sårbarheden identificeret, hvilket gør det muligt at udføre angriberkode ved parsing af specielt formaterede data returneret af WHOIS-serveren. Et andet eksempel er sårbarheden CVE-2021-2021 identificeret i 32749 i Fail2Ban-pakken, som tillader ekstern kode at blive eksekveret, når forkerte data returneres af WHOIS-tjenesten, der bruges i processen med at generere en blokeringsadvarsel (Fail2Ban bestemte værtsadministratorens e-mail via WHOIS og specificerede det, når kommandomailen blev kørt uden korrekt escape af specialtegn).
Det andet angreb er baseret på det faktum, at nogle certificeringsmyndigheder giver mulighed for at bekræfte domæneejerskab gennem en e-mail specificeret i domæneregistratordatabasen, tilgængelig via WHOIS-protokollen. Det viste sig, at flere certificeringsmyndigheder, der understøtter denne verifikationsmetode, fortsætter med at bruge den gamle WHOIS-server til ".MOBI"-domænezonen.
Når angriberne således har fået kontrol over navnet whois.dotmobiregistry.net, kan de hente deres data, udføre verifikation og indhente TLS-certifikat for ethvert domæne i .MOBI-zonen." For eksempel anmodede forskerne under eksperimentet om et TLS-certifikat til microsoft.mobi-domænet fra GlobalSign-registratoren, og e-mailen "whois@watchTowr.com", der blev returneret af den fiktive WHOIS-tjeneste, blev vist i brugergrænsefladen som tilgængelig til at sende en bekræftelseskode for domæneejerskab.
Kilde: opennet.ru
