Istraživači iz watchTowr Labsa objavili su rezultate eksperimenta u kojem je ukradena naslijeđena WHOIS usluga registrara .MOBI domene. Studija je potaknuta promjenom WHOIS adrese registrara, premještajući je s whois.dotmobiregistry.net na novi host, whois.nic.mobi. U međuvremenu, domena dotmobiregistry.net je deaktivirana i puštena u promet u prosincu 2023., čime je postala dostupna za registraciju.
Istraživači su potrošili 20 dolara i kupili ovu domenu, a zatim su na svom poslužitelju pokrenuli vlastitu lažnu WHOIS uslugu, whois.dotmobiregistry.net. Iznenađujuće, mnogi sustavi nisu prešli na novi host, whois.nic.mobi, već su nastavili koristiti staro ime. Od 30. kolovoza do 4. rujna ove godine zabilježeno je 2.5 milijuna upita za starim imenom, poslanih s više od 135 000 jedinstvenih sustava.
Među pošiljateljima zahtjeva bili su i oni koji su poslali poštu poslužitelji vladine i vojne organizacije koje su provjeravale domene koje se pojavljuju u e-porukama putem WHOIS-a, sigurnosne tvrtke i sigurnosne platforme (VirusTotal, Group-IB), kao i tijela za certificiranje, usluge provjere domena, SEO usluge i registratori domena (npr. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io i webchart.org).
Mogućnost slanja bilo kojih podataka kao odgovor na zahtjev staroj WHOIS usluzi za domensku zonu ".MOBI" iskorištena je za razvoj nekoliko vrsta napada na podnositelje zahtjeva. Prvi napad temeljio se na pretpostavci da ako netko nastavi tražiti davno neaktivnu uslugu, vjerojatno to čini koristeći zastarjele alate koji sadrže ranjivosti.
Na primjer, 2015. godine otkrivena je ranjivost CVE-2015-5243 u phpWHOIS-u, koja je omogućila izvršavanje koda napadača prilikom parsiranja posebno izrađenih podataka koje vraća WHOIS poslužitelj. Drugi primjer je ranjivost CVE-2021-32749, otkrivena 2021. godine u Fail2Ban paketu, koja omogućuje vanjsko izvršavanje koda kada WHOIS usluga koja se koristi za generiranje upozorenja o blokiranju vrati neispravne podatke (Fail2Ban je odredio adresu e-pošte administratora hosta putem WHOIS-a i naveo je prilikom pokretanja naredbe mail bez ispravnog izbjegavanja posebnih znakova).
Drugi napad oslanja se na neke CA-ove koji nude mogućnost provjere vlasništva domene putem adrese e-pošte navedene u bazi podataka registrara domena, dostupnoj putem WHOIS protokola. Ispostavilo se da nekoliko CA-ova koji podržavaju ovu metodu provjere i dalje koriste stari WHOIS poslužitelj za domensku ekstenziju ".MOBI".
Dakle, nakon što su stekli kontrolu nad imenom whois.dotmobiregistry.net, napadači mogu preuzeti njihove podatke, izvršiti provjeru i dobiti TLS certifikat za bilo koju domenu u .MOBI zoni." Na primjer, tijekom eksperimenta, istraživači su od registrara GlobalSigna zatražili TLS certifikat za domenu microsoft.mobi, a e-pošta "whois@watchTowr.com" koju je vratila fiktivna WHOIS usluga prikazana je u sučelju kao dostupna za slanje koda za provjeru vlasništva domene.
Izvor: opennet.ru
