Investigadores de watchTowr Labs han publicado los resultados de un experimento que implica la captura de un servicio WHOIS obsoleto de un registrador de zona de dominio .MOBI. El motivo del estudio fue que el registrador cambió la dirección del servicio WHOIS, moviéndola del dominio whois.dotmobiregistry.net al nuevo host whois.nic.mobi. Al mismo tiempo, el dominio dotmobiregistry.net dejó de utilizarse y en diciembre de 2023 fue liberado y estuvo disponible para su registro.
Los investigadores gastaron $20 y compraron este dominio, después de lo cual lanzaron su propio servicio WHOIS ficticio whois.dotmobiregistry.net en su servidor. Lo sorprendente fue que muchos sistemas no cambiaron al nuevo host whois.nic.mobi y continuaron usando el nombre anterior. Del 30 de agosto al 4 de septiembre de este año se registraron 2.5 millones de solicitudes del antiguo nombre, enviadas desde más de 135 mil sistemas únicos.
Entre los remitentes de las solicitudes se encontraban correos servidores organizaciones gubernamentales y militares que verificaron los dominios que aparecen en los correos electrónicos a través de WHOIS, empresas de seguridad y plataformas de seguridad (VirusTotal, Group-IB), así como autoridades de certificación, servicios de verificación de dominios, servicios de SEO y registradores de dominios (por ejemplo, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io y webchart.org).
La capacidad de enviar cualquier dato en respuesta a una solicitud al antiguo servicio WHOIS de la zona de dominio .MOBI se utilizó para desarrollar varios tipos de ataques a los solicitantes. El primer ataque se basó en la suposición de que si alguien continúa enviando solicitudes a un servicio reemplazado hace mucho tiempo, es probable que lo haga utilizando herramientas obsoletas que contienen vulnerabilidades.
Por ejemplo, en phpWHOIS en 2015, se identificó la vulnerabilidad CVE-2015-5243, que permite ejecutar código de atacante al analizar datos especialmente formateados devueltos por el servidor WHOIS. Otro ejemplo es la vulnerabilidad CVE-2021-2021 identificada en 32749 en el paquete Fail2Ban, que permite ejecutar código externo cuando el servicio WHOIS devuelve datos incorrectos utilizado en el proceso de generación de una advertencia de bloqueo (Fail2Ban determinó el correo electrónico del administrador del host). a través de WHOIS y lo especificó al ejecutar el correo de comando sin el escape adecuado de caracteres especiales).
El segundo ataque se basa en el hecho de que algunas autoridades de certificación ofrecen la posibilidad de verificar la propiedad del dominio a través de un correo electrónico especificado en la base de datos del registrador de dominios, accesible a través del protocolo WHOIS. Resultó que varias autoridades de certificación que admiten este método de verificación continúan utilizando el antiguo servidor WHOIS para la zona de dominio “.MOBI”.
De esta manera, al obtener el control del nombre whois.dotmobiregistry.net, los atacantes pueden recuperar sus datos, realizar la verificación y obtener Certificado TLS para cualquier dominio en la zona .MOBI". Por ejemplo, durante el experimento, los investigadores solicitaron un certificado TLS para el dominio microsoft.mobi al registrador GlobalSign, y el correo electrónico "whois@watchTowr.com" devuelto por el servicio WHOIS ficticio se mostró en la interfaz como disponible para enviar un código de verificación de propiedad del dominio.
Fuente: opennet.ru
