WatchTowr Labs-eko ikertzaileek .MOBI domeinu eremuko erregistratzaile batetik WHOIS zerbitzu zaharkitu bat harrapatzen duen esperimentu baten emaitzak argitaratu dituzte. Ikerketaren arrazoia izan zen erregistratzaileak WHOIS zerbitzuaren helbidea aldatu zuela, whois.dotmobiregistry.net domeinutik whois.nic.mobi ostalari berrira eraman zuela. Aldi berean, dotmobiregistry.net domeinua erabiltzeari utzi zion eta 2023ko abenduan kaleratu zen eta erregistratzeko eskuragarri egon zen.
Ikertzaileek 20 dolar gastatu zituzten eta domeinu hau erosi zuten, eta, ondoren, beren fikziozko WHOIS zerbitzua jarri zuten martxan whois.dotmobiregistry.net zerbitzarian. Harrigarria zen sistema askok whois.nic.mobi ostalari berrira aldatu eta izen zaharra erabiltzen jarraitu zutela. Aurtengo abuztuaren 30etik irailaren 4ra, izen zaharraren 2.5 milioi eskaera erregistratu ziren, 135 mila sistema berezi baino gehiagotik bidalita.
Eskaeren bidaltzaileen artean posta-bidaltzaileak zeuden zerbitzariak WHOIS bidez mezu elektronikoetan agertzen ziren domeinuak egiaztatu zituzten gobernu-erakundeak eta militarrak, segurtasun-enpresak eta segurtasun-plataformak (VirusTotal, Group-IB), baita ziurtapen-agintaritzak, domeinu-egiaztapen-zerbitzuak, SEO zerbitzuak eta domeinu-erregistratzaileak ere (adibidez, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io eta webchart.org).
.MOBI domeinu eremuko WHOIS zerbitzu zaharrera eskaera bati erantzunez edozein datu bidaltzeko gaitasuna erabili zen eskatzaileen aurkako hainbat eraso mota garatzeko. Lehenengo erasoa, norbaitek aspaldi ordezkatutako zerbitzu batera eskaerak bidaltzen jarraitzen badu, ziurrenik ahultasunak dituzten tresna zaharkituak erabiliz egingo duela uste zuen.
Esaterako, phpWHOISen 2015ean, CVE-2015-5243 ahultasuna identifikatu zen, WHOIS zerbitzariak formatu bereziko datuak analizatzean erasotzaileen kodea exekutatzea ahalbidetzen duena. Beste adibide bat da 2021ean Fail2021Ban paketean identifikatutako CVE-32749-2 ahultasuna, blokeo-abisua sortzeko prozesuan erabilitako WHOIS zerbitzuak datu okerrak itzultzen dituenean kanpoko kodea exekutatzea ahalbidetzen duena (Fail2Ban-ek ostalariaren administratzailearen posta elektronikoa zehaztu zuen. WHOIS bidez eta komando-posta exekutatzen ari zarenean zehaztu zuen karaktere berezietatik behar bezala ihes egin gabe).
Bigarren erasoa ziurtapen-agintari batzuek domeinuaren jabetza egiaztatzeko gaitasuna ematen dutelako domeinu-erregistratzailearen datu-basean zehaztutako mezu elektroniko baten bidez, WHOIS protokoloaren bidez eskuragarri dagoenean oinarritzen da. Egiaztatzeko metodo hau onartzen duten hainbat ziurtagiri-agintariek WHOIS zerbitzari zaharra erabiltzen jarraitzen dute ".MOBI" domeinu eremurako.
Horrela, whois.dotmobiregistry.net izenaren gaineko kontrola lortuta, erasotzaileek haien datuak berreskuratu, egiaztapena egin eta lortu ditzakete. TLS ziurtagiria .MOBI eremuko edozein domeinurako". Adibidez, esperimentuan zehar, ikertzaileek microsoft.mobi domeinurako TLS ziurtagiri bat eskatu zioten GlobalSign erregistratzaileari, eta WHOIS zerbitzu fiktizioak itzulitako "whois@watchTowr.com" mezu elektronikoa interfazean bistaratu zen domeinuaren jabetza egiaztatzeko kode bat bidaltzeko eskuragarri gisa.
Iturria: opennet.ru
