Forscher von watchTowr Labs haben die Ergebnisse eines Experiments veröffentlicht, bei dem es um die Erfassung eines veralteten WHOIS-Dienstes von einem .MOBI-Domainzonen-Registrar ging. Der Grund fĂŒr die Studie war, dass der Registrar die WHOIS-Dienstadresse geĂ€ndert und sie von der Domain whois.dotmobiregistry.net auf den neuen Host whois.nic.mobi verschoben hat. Gleichzeitig wurde die Nutzung der Domain dotmobiregistry.net eingestellt und im Dezember 2023 freigegeben und zur Registrierung verfĂŒgbar.
Die Forscher gaben 20 US-Dollar aus und kauften diese Domain, woraufhin sie ihren eigenen fiktiven WHOIS-Dienst whois.dotmobiregistry.net auf ihrem Server starteten. Ăberraschend war, dass viele Systeme nicht auf den neuen Host whois.nic.mobi umstellten und weiterhin den alten Namen verwendeten. Vom 30. August bis 4. September dieses Jahres wurden 2.5 Millionen Anfragen fĂŒr den alten Namen registriert, die von mehr als 135 einzigartigen Systemen gesendet wurden.
Zu den Absendern der Anfragen gehörten Postboten Server Regierungs- und MilitĂ€rorganisationen, die die in E-Mails erscheinenden Domains ĂŒber WHOIS ĂŒberprĂŒften, Sicherheitsunternehmen und Sicherheitsplattformen (VirusTotal, Group-IB) sowie Zertifizierungsstellen, Domainverifizierungsdienste, SEO-Dienste und Domainregistrare (z. B. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io und webchart.org).
Die Möglichkeit, beliebige Daten als Antwort auf eine Anfrage an den alten WHOIS-Dienst der .MOBI-DomÀnenzone zu senden, wurde zur Entwicklung verschiedener Arten von Angriffen auf Anfragende genutzt. Der erste Angriff basierte auf der Annahme, dass jemand, der weiterhin Anfragen an einen seit langem ersetzten Dienst sendet, dies wahrscheinlich mithilfe veralteter Tools tut, die Schwachstellen enthalten.
Beispielsweise wurde 2015 in phpWHOIS die Schwachstelle CVE-2015-5243 identifiziert, die die AusfĂŒhrung von Angreifercode beim Parsen speziell formatierter Daten ermöglicht, die vom WHOIS-Server zurĂŒckgegeben werden. Ein weiteres Beispiel ist die 2021 im Fail2021Ban-Paket identifizierte Schwachstelle CVE-32749-2, die die AusfĂŒhrung von externem Code ermöglicht, wenn der WHOIS-Dienst, der bei der Generierung einer Blockierungswarnung verwendet wird, falsche Daten zurĂŒckgibt (Fail2Ban ermittelte die E-Mail-Adresse des Host-Administrators). ĂŒber WHOIS und spezifizierte es beim AusfĂŒhren des Befehls mail ohne ordnungsgemĂ€Ăe Escapezeichen fĂŒr Sonderzeichen).
Der zweite Angriff basiert auf der Tatsache, dass einige Zertifizierungsstellen die Möglichkeit bieten, den DomĂ€nenbesitz ĂŒber eine E-Mail-Adresse zu ĂŒberprĂŒfen, die in der DomĂ€nenregistrierungsdatenbank angegeben ist, auf die ĂŒber das WHOIS-Protokoll zugegriffen werden kann. Es stellte sich heraus, dass mehrere Zertifizierungsstellen, die diese Verifizierungsmethode unterstĂŒtzen, weiterhin den alten WHOIS-Server fĂŒr die Domainzone â.MOBIâ verwenden.
Nachdem Angreifer die Kontrolle ĂŒber den Namen whois.dotmobiregistry.net erlangt haben, können sie ihre Daten abrufen, ĂberprĂŒfungen durchfĂŒhren und Informationen erhalten. TLS-Zertifikat fĂŒr jede Domain in der .MOBI-Zone.â Zum Beispiel forderten die Forscher wĂ€hrend des Experiments ein TLS-Zertifikat fĂŒr die Domain microsoft.mobi vom Registrar GlobalSign an, und die vom fiktiven WHOIS-Dienst zurĂŒckgegebene E-Mail-Adresse "whois@watchTowr.com" wurde in der BenutzeroberflĂ€che als verfĂŒgbar fĂŒr den Versand eines Codes zur BestĂ€tigung des Domainbesitzes angezeigt.
Source: opennet.ru
