D'fhoilsigh taighdeoirí ó watchTowr Labs torthaí turgnaimh a bhaineann le seirbhís WHOIS atá as dáta a ghabháil ó chláraitheoir crios fearainn .MOBI. Ba é an chúis atá leis an staidéar ná gur athraigh an cláraitheoir seoladh seirbhíse WHOIS, ag bogadh é ón bhfearann whois.dotmobiregistry.net chuig an óstach nua whois.nic.mobi. Ag an am céanna, scoireadh d’úsáid an fhearainn dotmobiregistry.net agus i mí na Nollag 2023 scaoileadh é agus cuireadh ar fáil é lena chlárú.
Chaith na taighdeoirí $20 agus cheannaigh siad an fearann seo, agus ina dhiaidh sin sheol siad a seirbhís bhréige WHOIS whois.dotmobiregistry.net ar a bhfreastalaí. Ba é an t-iontas ná nár aistrigh go leor córais go dtí an t-óstach nua whois.nic.mobi agus lean siad ag úsáid an tseanainm. Ó 30 Lúnasa go 4 Meán Fómhair i mbliana, taifeadadh 2.5 milliún iarratas ar an sean-ainm, a seoladh ó níos mó ná 135 míle córais uathúla.
I measc na seoltóirí iarrataí bhí daoine tríd an bpost freastalaithe eagraíochtaí rialtais agus míleata a rinne seiceáil ar na fearainn a bhí le feiceáil i ríomhphoist trí WHOIS, cuideachtaí slándála agus ardáin slándála (VirusTotal, Group-IB), chomh maith le húdaráis deimhniúcháin, seirbhísí fíoraithe fearainn, seirbhísí Sinsearach, agus cláraitheoirí fearainn (e.g., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, agus webchart.org).
Baineadh úsáid as an gcumas chun sonraí ar bith a sheoladh mar fhreagra ar iarratas chuig seanseirbhís WHOIS de chuid chrios fearainn .MOBI chun roinnt cineálacha ionsaithe ar iarratasóirí a fhorbairt. Bhí an chéad ionsaí bunaithe ar an toimhde, má leanann duine ar aghaidh ag cur iarratais chuig seirbhís a bhfuil athsholáthar fada uirthi, is dócha go ndéanfaidh siad amhlaidh ag baint úsáide as uirlisí as dáta ina bhfuil leochaileachtaí.
Mar shampla, i phpWHOIS in 2015, aithníodh leochaileacht CVE-2015-5243, a cheadaíonn cód ionsaitheora a fhorghníomhú nuair a bhíonn sonraí formáidithe speisialta a sheol an freastalaí WHOIS ar ais ag parsáil. Sampla eile is ea an leochaileacht CVE-2021-2021 a aithníodh in 32749 sa phacáiste Fail2Ban, a cheadaíonn cód seachtrach a fhorghníomhú nuair a sheolann an tseirbhís WHOIS sonraí mícheart a úsáidtear sa phróiseas chun rabhadh blocála a ghiniúint (shocraigh Fail2Ban ríomhphost an riarthóra óstaigh via WHOIS agus shonraigh sé é agus an ríomhphost ordaithe á rith gan carachtair speisialta a éalú i gceart).
Tá an dara ionsaí bunaithe ar an bhfíric go soláthraíonn roinnt údarás deimhniúcháin an cumas chun úinéireacht fearainn a fhíorú trí ríomhphost a shonraítear i mbunachar sonraí an chláraitheora fearainn, atá inrochtana trí phrótacal WHOIS. Tharla sé go bhfuil roinnt údarás deimhniúcháin a thacaíonn leis an modh fíoraithe seo fós ag úsáid seanfhreastalaí WHOIS don chrios fearainn “.MOBI”.
Dá bhrí sin, tar éis dóibh smacht a fháil ar an ainm whois.dotmobiregistry.net, is féidir le hionsaitheoirí a gcuid sonraí a aisghabháil, fíorú a dhéanamh, agus sonraí a fháil Teastas TLS "d'aon fhearann sa chrios .MOBI." Mar shampla, le linn an turgnaimh, d'iarr na taighdeoirí teastas TLS don fhearann microsoft.mobi ón gcláraitheoir GlobalSign, agus taispeánadh an ríomhphost "whois@watchTowr.com" a sheol an tseirbhís WHOIS bhréige ar ais sa chomhéadan mar ríomhphost atá ar fáil chun cód fíoraithe úinéireachta fearainn a sheoladh.
Foinse: oscailtenet.ru
