WatchTowr Labsi teadlased avaldasid katse tulemused, mis hÔlmasid vananenud WHOIS-teenuse hÔivamist .MOBI domeenitsooni registripidajalt. Uuringu pÔhjuseks oli see, et registripidaja muutis WHOIS-i teenuseaadressi, teisaldades selle domeenist whois.dotmobiregistry.net uude hosti whois.nic.mobi. Samal ajal lÔpetati domeen dotmobiregistry.net kasutamise ning 2023. aasta detsembris vabastati see ja sai registreerimiseks kÀttesaadavaks.
Teadlased kulutasid 20 dollarit ja ostsid selle domeeni, misjĂ€rel kĂ€ivitasid nad oma serveris oma fiktiivse WHOIS-teenuse whois.dotmobiregistry.net. Ăllatav oli see, et paljud sĂŒsteemid ei lĂ€inud ĂŒle uuele hostile whois.nic.mobi ja jĂ€tkasid vana nime kasutamist. TĂ€navu 30. augustist 4. septembrini registreeriti 2.5 miljonit vana nime pĂ€ringut, mis saadeti enam kui 135 tuhandest unikaalsest sĂŒsteemist.
PÀringute saatjate hulgas olid postiaadressid serverid valitsus- ja sÔjavÀeorganisatsioonid, kes kontrollisid meilides ilmuvaid domeene WHOIS-i, turvafirmade ja turvaplatvormide (VirusTotal, Group-IB) kaudu, samuti sertifitseerimisasutused, domeenide kontrollimise teenused, SEO teenused ja domeeniregistripidajad (nt domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io ja webchart.org).
VĂ”imalust saata mis tahes andmeid vastusena pĂ€ringule .MOBI domeenitsooni vanale WHOIS-teenusele kasutati taotlejate vastu suunatud mitut tĂŒĂŒpi rĂŒnnakute vĂ€ljatöötamiseks. Esimene rĂŒnnak pĂ”hines eeldusel, et kui keegi jĂ€tkab taotluste saatmist pikalt asendatud teenusele, siis tĂ”enĂ€oliselt kasutab ta seda vananenud haavatavusi sisaldavate tööriistade abil.
NĂ€iteks phpWHOIS-is 2015. aastal tuvastati haavatavus CVE-2015-5243, mis vĂ”imaldab WHOIS-i serveri poolt tagastatud spetsiaalselt vormindatud andmete sĂ”elumisel kĂ€ivitada rĂŒndaja koodi. Teine nĂ€ide on 2021. aastal Fail2021Ban paketis tuvastatud haavatavus CVE-32749-2, mis vĂ”imaldab kĂ€ivitada vĂ€list koodi, kui blokeerimishoiatuse genereerimisel kasutatud WHOIS-teenus tagastab valed andmed (Fail2Ban mÀÀras hosti administraatori meili WHOIS-i kaudu ja mÀÀras selle kĂ€sumeili kĂ€ivitamisel ilma erimĂ€rkide nĂ”uetekohase pĂ”genemiseta).
Teine rĂŒnnak pĂ”hineb asjaolul, et mĂ”ned sertifitseerimisasutused pakuvad vĂ”imalust kontrollida domeeni omandiĂ”igust domeeni registripidaja andmebaasis mÀÀratud meili kaudu, millele pÀÀseb juurde WHOIS-protokolli kaudu. Selgus, et mitmed seda kinnitusmeetodit toetavad sertifitseerimisasutused jĂ€tkavad domeeni .MOBI tsooni jaoks vana WHOIS-i serveri kasutamist.
Seega, olles saanud kontrolli nime whois.dotmobiregistry.net ĂŒle, saavad rĂŒndajad oma andmed kĂ€tte, neid kontrollida ja hankida TLS-sertifikaat mis tahes .MOBI-tsooni domeeni jaoks." NĂ€iteks eksperimendi ajal taotlesid teadlased GlobalSigni registripidajalt microsoft.mobi domeeni jaoks TLS-sertifikaati ja fiktiivse WHOIS-teenuse tagastatud e-posti aadress "whois@watchTowr.com" kuvati liideses domeeni omandiĂ”iguse kinnituskoodi saatmiseks saadaolevana.
Allikas: opennet.ru
