Ερευνητές από το watchTowr Labs δημοσίευσαν τα αποτελέσματα ενός πειράματος που αφορούσε την καταγραφή μιας ξεπερασμένης υπηρεσίας WHOIS από έναν καταχωρητή ζώνης τομέα .MOBI. Ο λόγος για τη μελέτη ήταν ότι ο καταχωρητής άλλαξε τη διεύθυνση της υπηρεσίας WHOIS, μεταφέροντάς την από τον τομέα whois.dotmobiregistry.net στον νέο κεντρικό υπολογιστή whois.nic.mobi. Ταυτόχρονα, ο τομέας dotmobiregistry.net έπαψε να χρησιμοποιείται και τον Δεκέμβριο του 2023 κυκλοφόρησε και έγινε διαθέσιμος για εγγραφή.
Οι ερευνητές ξόδεψαν 20 δολάρια και αγόρασαν αυτόν τον τομέα, μετά τον οποίο κυκλοφόρησαν τη δική τους εικονική υπηρεσία WHOIS whois.dotmobiregistry.net στον διακομιστή τους. Αυτό που προκάλεσε έκπληξη ήταν ότι πολλά συστήματα δεν άλλαξαν στον νέο κεντρικό υπολογιστή whois.nic.mobi και συνέχισαν να χρησιμοποιούν το παλιό όνομα. Από τις 30 Αυγούστου έως τις 4 Σεπτεμβρίου φέτος, καταγράφηκαν 2.5 εκατομμύρια αιτήματα για το παλιό όνομα, που στάλθηκαν από περισσότερα από 135 χιλιάδες μοναδικά συστήματα.
Μεταξύ των αποστολέων των αιτημάτων ήταν ταχυδρομικοί διακομιστές κυβερνητικοί και στρατιωτικοί οργανισμοί που έλεγξαν τα domain που εμφανίζονται σε email μέσω WHOIS, εταιρείες ασφαλείας και πλατφόρμες ασφαλείας (VirusTotal, Group-IB), καθώς και αρχές πιστοποίησης, υπηρεσίες επαλήθευσης domain, υπηρεσίες SEO και καταχωρητές domain (π.χ., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io και webchart.org).
Η δυνατότητα αποστολής οποιωνδήποτε δεδομένων ως απάντηση σε ένα αίτημα στην παλιά υπηρεσία WHOIS της ζώνης τομέα .MOBI χρησιμοποιήθηκε για την ανάπτυξη αρκετών τύπων επιθέσεων σε αιτούντες. Η πρώτη επίθεση βασίστηκε στην υπόθεση ότι εάν κάποιος συνεχίσει να στέλνει αιτήματα σε μια υπηρεσία που έχει αντικατασταθεί από καιρό, τότε είναι πιθανό να το κάνει χρησιμοποιώντας ξεπερασμένα εργαλεία που περιέχουν ευπάθειες.
Για παράδειγμα, στο phpWHOIS το 2015, εντοπίστηκε η ευπάθεια CVE-2015-5243, η οποία επιτρέπει την εκτέλεση κώδικα εισβολέα κατά την ανάλυση ειδικά μορφοποιημένων δεδομένων που επιστρέφονται από τον διακομιστή WHOIS. Ένα άλλο παράδειγμα είναι η ευπάθεια CVE-2021-2021 που εντοπίστηκε το 32749 στο πακέτο Fail2Ban, η οποία επιτρέπει την εκτέλεση εξωτερικού κώδικα όταν επιστρέφονται εσφαλμένα δεδομένα από την υπηρεσία WHOIS που χρησιμοποιείται στη διαδικασία δημιουργίας μιας προειδοποίησης αποκλεισμού (Το Fail2Ban καθόρισε το email του διαχειριστή του κεντρικού υπολογιστή μέσω WHOIS και το καθόρισε κατά την εκτέλεση της αλληλογραφίας εντολών χωρίς σωστή διαφυγή ειδικών χαρακτήρων).
Η δεύτερη επίθεση βασίζεται στο γεγονός ότι ορισμένες αρχές πιστοποίησης παρέχουν τη δυνατότητα επαλήθευσης της ιδιοκτησίας τομέα μέσω ενός email που καθορίζεται στη βάση δεδομένων μητρώου τομέα, προσβάσιμο μέσω του πρωτοκόλλου WHOIS. Αποδείχθηκε ότι πολλές αρχές πιστοποίησης που υποστηρίζουν αυτήν τη μέθοδο επαλήθευσης συνεχίζουν να χρησιμοποιούν τον παλιό διακομιστή WHOIS για τη ζώνη τομέα ".MOBI".
Έτσι, έχοντας αποκτήσει τον έλεγχο του ονόματος whois.dotmobiregistry.net, οι εισβολείς μπορούν να ανακτήσουν τα δεδομένα τους, να πραγματοποιήσουν επαλήθευση και να αποκτήσουν... Πιστοποιητικό TLS για οποιοδήποτε domain στη ζώνη .MOBI." Για παράδειγμα, κατά τη διάρκεια του πειράματος, οι ερευνητές ζήτησαν ένα πιστοποιητικό TLS για τον τομέα microsoft.mobi από τον καταχωρητή GlobalSign και το email "whois@watchTowr.com" που επιστράφηκε από την πλασματική υπηρεσία WHOIS εμφανίστηκε στη διεπαφή ως διαθέσιμο για την αποστολή ενός κωδικού επαλήθευσης ιδιοκτησίας τομέα.
Πηγή: opennet.ru
