Des chercheurs de watchTowr Labs ont publié les résultats d'une expérience impliquant la capture d'un service WHOIS obsolète à partir d'un registraire de zone de domaine .MOBI. La raison de l'étude était que le registraire avait modifié l'adresse du service WHOIS, la déplaçant du domaine whois.dotmobiregistry.net vers le nouvel hôte whois.nic.mobi. Dans le même temps, le domaine dotmobiregistry.net a cessé d'être utilisé et en décembre 2023, il a été libéré et est devenu disponible pour l'enregistrement.
Les chercheurs ont dépensé 20 $ et ont acheté ce domaine, après quoi ils ont lancé leur propre service WHOIS fictif whois.dotmobiregistry.net sur leur serveur. Ce qui était surprenant, c'est que de nombreux systèmes ne sont pas passés au nouvel hôte whois.nic.mobi et ont continué à utiliser l'ancien nom. Du 30 août au 4 septembre de cette année, 2.5 millions de demandes pour l'ancien nom ont été enregistrées, envoyées depuis plus de 135 XNUMX systèmes uniques.
Parmi les expéditeurs de demandes figuraient des services postaux serveurs les organisations gouvernementales et militaires qui ont vérifié les domaines apparaissant dans les courriels via WHOIS, les sociétés et plateformes de sécurité (VirusTotal, Group-IB), ainsi que les autorités de certification, les services de vérification de domaine, les services de référencement et les bureaux d'enregistrement de domaines (par exemple, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io et webchart.org).
La possibilité d'envoyer n'importe quelle donnée en réponse à une requête à l'ancien service WHOIS de la zone de domaine .MOBI a été utilisée pour développer plusieurs types d'attaques contre les demandeurs. La première attaque reposait sur l’hypothèse que si quelqu’un continue d’envoyer des requêtes à un service remplacé depuis longtemps, il le fait probablement en utilisant des outils obsolètes contenant des vulnérabilités.
Par exemple, dans phpWHOIS en 2015, la vulnérabilité CVE-2015-5243 a été identifiée, ce qui permet à un code malveillant d'être exécuté lors de l'analyse de données spécialement formatées renvoyées par le serveur WHOIS. Un autre exemple est la vulnérabilité CVE-2021-2021 identifiée en 32749 dans le package Fail2Ban, qui permet d'exécuter du code externe lorsque des données incorrectes sont renvoyées par le service WHOIS utilisé dans le processus de génération d'un avertissement de blocage (Fail2Ban a déterminé l'adresse email de l'administrateur de l'hôte). via WHOIS et l'a spécifié lors de l'exécution de la commande mail sans échappement approprié des caractères spéciaux).
La deuxième attaque repose sur le fait que certaines autorités de certification offrent la possibilité de vérifier la propriété du domaine via un email spécifié dans la base de données du registraire de domaine, accessible via le protocole WHOIS. Il s'est avéré que plusieurs autorités de certification prenant en charge cette méthode de vérification continuent d'utiliser l'ancien serveur WHOIS pour la zone de domaine « .MOBI ».
Ainsi, ayant pris le contrôle du nom de domaine whois.dotmobiregistry.net, les attaquants peuvent récupérer leurs données, effectuer des vérifications et obtenir… certificat TLS Pour tout domaine de la zone .MOBI. Par exemple, lors de l'expérience, les chercheurs ont demandé un certificat TLS pour le domaine microsoft.mobi auprès du registraire GlobalSign, et l'adresse électronique « whois@watchTowr.com » renvoyée par le service WHOIS fictif a été affichée dans l'interface comme disponible pour l'envoi d'un code de vérification de propriété du domaine.
Source: opennet.ru
