Esploristoj de watchTowr Labs publikigis la rezultojn de eksperimento implikanta la kapton de malnoviĝinta WHOIS-servo de .MOBI domajna zono registristo. La kialo de la studo estis ke la registristo ŝanĝis la WHOIS-servadreson, movante ĝin de la domajno whois.dotmobiregistry.net al la nova gastiganto whois.nic.mobi. Samtempe, la domajno dotmobiregistry.net ĉesis esti uzata kaj en decembro 2023 ĝi estis liberigita kaj havebla por registriĝo.
La esploristoj elspezis $20 kaj aĉetis ĉi tiun domajnon, post kio ili lanĉis sian propran fikcian WHOIS-servon whois.dotmobiregistry.net sur sia servilo. Kio estis surpriza estis ke multaj sistemoj ne ŝanĝis al la nova gastiganto whois.nic.mobi kaj daŭre uzis la malnovan nomon. De la 30-a de aŭgusto ĝis la 4-a de septembro ĉi-jare estis registritaj 2.5 milionoj da petoj por la malnova nomo, senditaj de pli ol 135 mil unikaj sistemoj.
Inter la sendintoj de petoj estis poŝtistoj serviloj registaraj kaj armeaj organizaĵoj, kiuj kontrolis la domajnojn aperantajn en retpoŝtoj per WHOIS, sekurecaj kompanioj kaj sekurecaj platformoj (VirusTotal, Group-IB), same kiel atestadaj aŭtoritatoj, domajnaj konfirmaj servoj, SEO-servoj kaj domajnaj registristoj (ekz., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io kaj webchart.org).
La kapablo sendi ajnajn datumojn en respondo al peto al la malnova WHOIS-servo de la domajna zono .MOBI estis uzata por disvolvi plurajn specojn de atakoj kontraŭ petantoj. La unua atako baziĝis sur la supozo, ke se iu daŭre sendas petojn al longe anstataŭigita servo, tiam ili verŝajne faras tion uzante malmodernajn ilojn enhavantajn vundeblecojn.
Ekzemple, en phpWHOIS en 2015, la vundebleco CVE-2015-5243 estis identigita, kio ebligas efektivigi atakan kodon dum analizado de speciale formatitaj datumoj resenditaj de la WHOIS-servilo. Alia ekzemplo estas la vundebleco CVE-2021-2021 identigita en 32749 en la pako Fail2Ban, kiu ebligas ekzekuti eksteran kodon kiam malĝustaj datumoj estas resenditaj de la WHOIS-servo uzata en la procezo de generado de bloka averto (Fail2Ban determinis la retpoŝton de la gastiga administranto. per WHOIS kaj specifis ĝin dum rulado de la komandpoŝto sen taŭga eskapo de specialaj signoj).
La dua atako baziĝas sur la fakto, ke iuj atestadaj aŭtoritatoj disponigas la kapablon kontroli domajnan proprieton per retpoŝto specifita en la domajna registrilo-datumbazo, alirebla per la WHOIS-protokolo. Montriĝis, ke pluraj atestadaj aŭtoritatoj, kiuj subtenas ĉi tiun kontrolan metodon, daŭre uzas la malnovan WHOIS-servilon por la domajna zono ".MOBI".
Tiel, akirinte kontrolon super la nomo whois.dotmobiregistry.net, atakantoj povas preni iliajn datumojn, plenumi konfirmon kaj akiri TLS-atestilo por iu ajn domajno en la zono .MOBI." Ekzemple, dum la eksperimento, la esploristoj petis TLS-atestilon por la domajno microsoft.mobi de la registristo de GlobalSign, kaj la retpoŝto "whois@watchTowr.com" resendita de la fikcia WHOIS-servo estis montrata en la interfaco kiel disponebla por sendi domajnan posedkodon por konfirmi.
fonto: opennet.ru
