watchTowr Labsin tutkijat ovat julkaisseet kokeen tulokset, jossa kaapattiin .MOBI-verkkotunnusten rekisteröijän vanha WHOIS-palvelu. Tutkimuksen taustalla oli rekisterinpitäjän WHOIS-osoitteen muutos, jossa se siirrettiin osoitteesta whois.dotmobiregistry.net uudelle palvelimelle, whois.nic.mobi. Samaan aikaan dotmobiregistry.net-verkkotunnus poistettiin käytöstä ja vapautettiin joulukuussa 2023, jolloin se oli rekisteröitävissä.
Tutkijat ostivat tämän verkkotunnuksen 20 dollarilla ja käynnistivät sitten oman väärennetyn WHOIS-palvelunsa, whois.dotmobiregistry.net, palvelimellaan. Yllättäen monet järjestelmät eivät vaihtaneet uuteen isäntään, whois.nic.mobi, vaan jatkoivat vanhan nimen käyttöä. Tämän vuoden elokuun 30. päivän ja syyskuuta 4. päivän välisenä aikana vanhalla nimellä tehtiin 2.5 miljoonaa kyselyä yli 135 000 eri järjestelmästä.
Pyyntöjen lähettäjien joukossa oli postia serveria valtion ja armeijan organisaatiot, jotka tarkistivat sähköposteissa näkyvät verkkotunnukset WHOIS-haun kautta, tietoturvayritykset ja tietoturva-alustat (VirusTotal, Group-IB), sekä sertifiointiviranomaiset, verkkotunnusten varmennuspalvelut, hakukoneoptimointipalvelut ja verkkotunnusten rekisteröijät (esim. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io ja webchart.org).
Mahdollisuutta lähettää mitä tahansa tietoja vastauksena pyyntöön vanhaan WHOIS-palveluun ".MOBI"-verkkotunnusvyöhykkeellä hyödynnettiin useiden hyökkäysten kehittämiseen pyytäjiä vastaan. Ensimmäinen hyökkäys perustui oletukseen, että jos joku jatkaa kauan sitten kuolleen palvelun pyytämistä, hän todennäköisesti tekee sen vanhentuneilla työkaluilla, jotka sisältävät haavoittuvuuksia.
Esimerkiksi vuonna 2015 phpWHOIS-havaintopalvelusta löydettiin haavoittuvuus CVE-2015-5243, joka mahdollisti hyökkääjän koodin suorittamisen jäsennettäessä WHOIS-palvelimen palauttamaa erityisesti muodostettua dataa. Toinen esimerkki on haavoittuvuus CVE-2021-32749, joka löydettiin vuonna 2021 Fail2Ban-paketista ja joka mahdollistaa ulkoisen koodin suorittamisen, kun WHOIS-palvelu palauttaa virheellisesti muodostettua dataa, jota käytetään estovaroituksen luomiseen (Fail2Ban määritti isännän sähköpostiosoitteen WHOIS-palvelun kautta ja määritti sen suorittaessaan mail-komentoa ilman asianmukaisia koodinvaihtoja).
Toinen hyökkäys perustuu siihen, että jotkut varmentajat tarjoavat mahdollisuutta vahvistaa verkkotunnuksen omistajuuden sähköpostiosoitteen avulla, joka on listattu verkkotunnusrekisteröijän tietokannassa ja johon pääsee käsiksi WHOIS-protokollan kautta. Käy ilmi, että useat tätä vahvistusmenetelmää tukevat varmentajat käyttävät edelleen vanhaa WHOIS-palvelinta ".MOBI"-verkkotunnuspäätteelle.
Näin ollen saatuaan haltuunsa nimen whois.dotmobiregistry.net, hyökkääjät voivat noutaa tietonsa, suorittaa varmennuksen ja saada TLS-varmenne "Mille tahansa .MOBI-vyöhykkeen verkkotunnuksille." Esimerkiksi kokeen aikana tutkijat pyysivät TLS-varmennetta microsoft.mobi-verkkotunnukselle GlobalSign-rekisterinpitäjältä, ja fiktiivisen WHOIS-palvelun palauttama sähköpostiosoite "whois@watchTowr.com" näytettiin käyttöliittymässä saatavilla olevana sähköpostiosoitteena verkkotunnuksen omistajuuden vahvistuskoodin lähettämistä varten.
Lähde: opennet.ru
