Investigadores de watchTowr Labs publicaron os resultados dun experimento que secuestrou o servizo WHOIS antigo do rexistrador do dominio .MOBI. O estudo xurdiu a raíz do cambio de enderezo WHOIS por parte do rexistrador, trasladándoo de whois.dotmobiregistry.net a un novo servidor, whois.nic.mobi. Mentres tanto, o dominio dotmobiregistry.net foi desmantelado e lanzado en decembro de 2023, o que o fixo dispoñible para o seu rexistro.
Os investigadores gastaron 20 dólares e compraron este dominio, e despois lanzaron o seu propio servizo WHOIS falso, whois.dotmobiregistry.net, no seu servidor. Sorprendentemente, moitos sistemas non cambiaron ao novo servidor, whois.nic.mobi, senón que continuaron a usar o nome antigo. Do 30 de agosto ao 4 de setembro deste ano, rexistráronse 2.5 millóns de consultas para o nome antigo, enviadas desde máis de 135 sistemas únicos.
Entre os remitentes das solicitudes había correos servidores organizacións gobernamentais e militares que comprobaron os dominios que aparecían nos correos electrónicos a través de WHOIS, empresas e plataformas de seguridade (VirusTotal, Group-IB), así como autoridades de certificación, servizos de verificación de dominios, servizos de SEO e rexistradores de dominios (por exemplo, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io e webchart.org).
A capacidade de enviar calquera dato en resposta a unha solicitude ao antigo servizo WHOIS para a zona de dominio ".MOBI" foi aproveitada para desenvolver varios tipos de ataques contra os solicitantes. O primeiro ataque baseouse na suposición de que se alguén continúa solicitando o servizo, que xa non existe, é probable que o faga usando ferramentas desactualizadas que conteñen vulnerabilidades.
Por exemplo, en 2015, descubriuse a vulnerabilidade CVE-2015-5243 en phpWHOIS, que permitía a execución de código por parte dun atacante ao analizar datos especialmente deseñados devoltos polo servidor WHOIS. Outro exemplo é a vulnerabilidade CVE-2021-32749, descuberta en 2021 no paquete Fail2Ban, que permite a execución de código externo cando o servizo WHOIS devolve datos incorrectos utilizados para xerar un aviso de bloqueo (Fail2Ban determinou o enderezo de correo electrónico do administrador do host a través de WHOIS e especificouno ao executar o comando mail sen escapar correctamente os caracteres especiais).
O segundo ataque baséase en que algunhas CA ofrecen a capacidade de verificar a propiedade do dominio a través dun enderezo de correo electrónico que figura na base de datos do rexistrador de dominios, accesible a través do protocolo WHOIS. Resulta que varias CA que admiten este método de verificación seguen a usar o antigo servidor WHOIS para a extensión de dominio ".MOBI".
Deste xeito, unha vez obtido o control do nome whois.dotmobiregistry.net, os atacantes poden recuperar os seus datos, realizar a verificación e obter... Certificado TLS para calquera dominio na zona .MOBI." Por exemplo, durante o experimento, os investigadores solicitaron un certificado TLS para o dominio microsoft.mobi ao rexistrador de GlobalSign e o correo electrónico "whois@watchTowr.com" devolto polo servizo WHOIS ficticio mostrábase na interface como dispoñible para enviar un código de verificación da propiedade do dominio.
Fonte: opennet.ru
