Ûndersikers fan watchTowr Labs hawwe publisearre de resultaten fan in eksperimint wêrby't it fangen fan in ferâldere WHOIS tsjinst fan in .MOBI domein sône registrar. De reden foar it ûndersyk wie dat de griffier it WHOIS-tsjinstadres feroare, en it ferpleatst fan it domein whois.dotmobiregistry.net nei de nije host whois.nic.mobi. Tagelyk stoppe it dotmobiregistry.net-domein te brûken en yn desimber 2023 waard it frijlitten en waard it beskikber foar registraasje.
De ûndersikers bestege $20 en kochten dit domein, wêrnei't se har eigen fiktive WHOIS-tsjinst whois.dotmobiregistry.net op har server lansearren. Wat ferrassend wie, wie dat in protte systemen net oerstapten nei de nije host whois.nic.mobi en bleaunen de âlde namme te brûken. Fan 30 augustus oant 4 septimber dit jier waarden 2.5 miljoen oanfragen foar de âlde namme opnommen, ferstjoerd fan mear as 135 tûzen unike systemen.
Under de ôfstjoerders fan oanfragen wiene post servers oerheids- en militêre organisaasjes dy't de domeinen dy't yn e-mails ferskynden kontrolearren fia WHOIS, befeiligingsbedriuwen en befeiligingsplatfoarms (VirusTotal, Group-IB), lykas sertifisearringsautoriteiten, domeinferifikaasjetsjinsten, SEO-tsjinsten en domeinregistrators (bygelyks domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, en webchart.org).
De mooglikheid om alle gegevens te stjoeren yn antwurd op in fersyk nei de âlde WHOIS-tsjinst fan 'e .MOBI-domein-sône waard brûkt om ferskate soarten oanfallen op oanfregers te ûntwikkeljen. De earste oanfal wie basearre op de oanname dat as immen trochgiet fersiken te stjoeren nei in lang ferfongen tsjinst, dan dogge se dat wierskynlik mei ferâldere ark dat kwetsberens befettet.
Bygelyks, yn phpWHOIS yn 2015 waard de CVE-2015-5243 kwetsberens identifisearre, wêrtroch oanfallerskoade kin wurde útfierd by it parsearjen fan spesjaal opmakke gegevens weromjûn troch de WHOIS-tsjinner. In oar foarbyld is de kwetsberens CVE-2021-2021 identifisearre yn 32749 yn it Fail2Ban-pakket, wêrtroch eksterne koade kin wurde útfierd as ferkearde gegevens weromjûn wurde troch de WHOIS-tsjinst brûkt yn it proses fan it generearjen fan in warskôging foar blokkearjen (Fail2Ban hat de e-post fan de hostbehearder bepaald fia WHOIS en spesifisearre it by it útfieren fan de kommando-mail sûnder goede ûntsnapping fan spesjale tekens).
De twadde oanfal is basearre op it feit dat guon sertifisearring autoriteiten de mooglikheid jouwe om domeinbesit te ferifiearjen fia in e-post oantsjutte yn 'e domeinregistraasjedatabase, tagonklik fia it WHOIS-protokol. It die bliken dat ferskate sertifisearingsautoriteiten dy't dizze ferifikaasjemetoade stypje, de âlde WHOIS-tsjinner brûke foar de domeinsône ".MOBI".
Sa kinne oanfallers, nei't se kontrôle krigen hawwe oer de namme whois.dotmobiregistry.net, har gegevens weromhelje, ferifikaasje útfiere en ... krije TLS-sertifikaat foar elk domein yn 'e .MOBI-sône." Bygelyks, tidens it eksperimint fregen de ûndersikers in TLS-sertifikaat foar it microsoft.mobi-domein oan by de registrar fan GlobalSign, en de e-post "whois@watchTowr.com" dy't weromjûn waard troch de fiktive WHOIS-tsjinst waard yn 'e ynterface werjûn as beskikber foar it ferstjoeren fan in ferifikaasjekoade foar domeineigendom.
Boarne: opennet.ru
