محققان watchTowr Labs نتایج آزمایشی را منتشر کردهاند که سرویس قدیمی WHOIS ثبتکننده دامنه .MOBI را ربوده است. این مطالعه با تغییر آدرس WHOIS ثبتکننده و انتقال آن از whois.dotmobiregistry.net به میزبان جدید whois.nic.mobi آغاز شد. در همین حال، دامنه dotmobiregistry.net در دسامبر 2023 از رده خارج و آزاد شد و امکان ثبت آن فراهم گردید.
محققان 20 دلار هزینه کردند و این دامنه را خریداری کردند، سپس سرویس WHOIS جعلی خود، whois.dotmobiregistry.net، را روی سرور خود راهاندازی کردند. جالب اینجاست که بسیاری از سیستمها به میزبان جدید، whois.nic.mobi، تغییر نام ندادند، بلکه به استفاده از نام قدیمی ادامه دادند. از 30 آگوست تا 4 سپتامبر امسال، 2.5 میلیون درخواست برای نام قدیمی ثبت شد که از بیش از 135 سیستم منحصر به فرد ارسال شده بود.
در میان فرستندگان درخواستها، پستی نیز وجود داشت سرورها سازمانهای دولتی و نظامی که دامنههای موجود در ایمیلها را از طریق WHOIS بررسی میکردند، شرکتهای امنیتی و پلتفرمهای امنیتی (VirusTotal، Group-IB) و همچنین مراجع صدور گواهینامه، سرویسهای تأیید دامنه، سرویسهای سئو و ثبتکنندگان دامنه (مانند domain.com، godaddy.com، who.is، whois.ru، smallseo.tools، seocheki.net، centralops.net، name.com، urlscan.io و webchart.org).
قابلیت ارسال هرگونه داده در پاسخ به درخواست به سرویس قدیمی WHOIS برای منطقه دامنه ".MOBI" برای توسعه انواع مختلفی از حملات علیه درخواستکنندگان مورد سوءاستفاده قرار گرفت. اولین حمله بر اساس این فرض بود که اگر کسی به درخواست سرویس منسوخشده ادامه دهد، احتمالاً این کار را با استفاده از ابزارهای قدیمی حاوی آسیبپذیری انجام میدهد.
برای مثال، در سال ۲۰۱۵، آسیبپذیری CVE-2015-5243 در phpWHOIS کشف شد که امکان اجرای کد مهاجم را هنگام تجزیه دادههای دستکاریشدهی خاصِ برگرداندهشده توسط سرور WHOIS فراهم میکرد. مثال دیگر، آسیبپذیری CVE-2021-32749 است که در سال ۲۰۲۱ در بستهی Fail2Ban کشف شد و امکان اجرای کد خارجی را هنگام برگرداندن دادههای نادرست توسط سرویس WHOIS که برای ایجاد هشدار مسدودسازی استفاده میشود، فراهم میکند (Fail2Ban آدرس ایمیل مدیر میزبان را از طریق WHOIS تعیین میکرد و هنگام اجرای دستور ایمیل بدون حذف صحیح کاراکترهای خاص، آن را مشخص میکرد).
حمله دوم به برخی از مراکز صدور گواهی (CA) متکی است که امکان تأیید مالکیت دامنه را از طریق آدرس ایمیلی که در پایگاه داده ثبتکننده دامنه ذکر شده و از طریق پروتکل WHOIS قابل دسترسی است، ارائه میدهند. مشخص شد که چندین مرکز صدور گواهی که از این روش تأیید پشتیبانی میکنند، همچنان از سرور قدیمی WHOIS برای پسوند دامنه ".MOBI" استفاده میکنند.
بنابراین، با به دست آوردن کنترل نام whois.dotmobiregistry.net، مهاجمان میتوانند دادههای آنها را بازیابی کنند، تأیید هویت انجام دهند و ... گواهی TLS برای هر دامنهای در منطقه .MOBI." برای مثال، در طول آزمایش، محققان از ثبتکننده GlobalSign درخواست گواهی TLS برای دامنه microsoft.mobi کردند و ایمیل "whois@watchTowr.com" که توسط سرویس WHOIS ساختگی برگردانده میشد، در رابط کاربری به عنوان ایمیلی که برای ارسال کد تأیید مالکیت دامنه در دسترس است، نمایش داده شد.
منبع: opennet.ru
