Chèchè nan WatchTowr Labs te pibliye rezilta yon eksperyans ki enplike kaptire yon sèvis WHOIS demode nan yon rejistrè zòn domèn .MOBI. Rezon an pou etid la se ke rejistrè a chanje adrès sèvis WHOIS la, deplase li soti nan domèn whois.dotmobiregistry.net nan nouvo lame whois.nic.mobi. An menm tan an, domèn dotmobiregistry.net sispann sèvi ak nan Desanm 2023 li te lage e li te vin disponib pou anrejistreman.
Chèchè yo te depanse $ 20 epi yo te achte domèn sa a, apre sa yo te lanse pwòp sèvis WHOIS fiktiv yo whois.dotmobiregistry.net sou sèvè yo. Ki sa ki te etone se ke anpil sistèm pa t 'chanje nan nouvo lame whois.nic.mobi a epi yo te kontinye sèvi ak ansyen non an. Soti 30 out rive 4 septanm ane sa a, yo te anrejistre 2.5 milyon demann pou ansyen non an, yo te voye soti nan plis pase 135 mil sistèm inik.
Pami moun ki te voye demann yo te gen lapòs sèvè òganizasyon gouvènman ak militè ki te verifye domèn ki te parèt nan imèl atravè WHOIS, konpayi sekirite ak platfòm sekirite (VirusTotal, Group-IB), ansanm ak otorite sètifikasyon, sèvis verifikasyon domèn, sèvis SEO, ak anrejistrè domèn (pa egzanp, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, ak webchart.org).
Kapasite pou voye nenpòt done an repons a yon demann nan ansyen sèvis WHOIS nan zòn nan domèn .MOBI te itilize pou devlope plizyè kalite atak sou moun ki fè demann yo. Premye atak la te baze sou sipozisyon ke si yon moun kontinye voye demann nan yon sèvis ki depi lontan ranplase, Lè sa a, yo gen anpil chans fè sa lè l sèvi avèk zouti demode ki gen frajilite.
Pou egzanp, nan phpWHOIS nan 2015, yo te idantifye vilnerabilite CVE-2015-5243, ki pèmèt yo egzekite kòd atakè lè yo analize done ki gen fòma espesyal sèvè WHOIS la retounen. Yon lòt egzanp se vilnerabilite CVE-2021-2021 te idantifye an 32749 nan pake Fail2Ban, ki pèmèt kòd ekstèn yo dwe egzekite lè sèvis WHOIS te itilize nan pwosesis pou jenere yon avètisman pou bloke done ki pa kòrèk yo retounen (Fail2Ban te detèmine imèl administratè lame a). atravè WHOIS ak espesifye li lè w ap kouri lapòs lòd la san yo pa chape apwopriye nan karaktè espesyal).
Dezyèm atak la baze sou lefèt ke kèk otorite sètifikasyon bay kapasite pou verifye pwopriyetè domèn atravè yon imèl ki espesifye nan baz done rejistrè domèn, aksesib atravè pwotokòl WHOIS la. Li te tounen soti ke plizyè otorite sètifikasyon ki sipòte metòd verifikasyon sa a kontinye sèvi ak ansyen sèvè WHOIS la pou zòn nan domèn ".MOBI".
Konsa, lè yo fin pran kontwòl non whois.dotmobiregistry.net la, atakan yo ka rekipere done yo, fè verifikasyon, epi jwenn... Sètifika TLS pou nenpòt domèn nan zòn .MOBI a." Pa egzanp, pandan eksperyans lan, chèchè yo te mande yon sètifika TLS pou domèn microsoft.mobi a nan men anrejistrè GlobalSign lan, epi imèl "whois@watchTowr.com" ki te retounen pa sèvis WHOIS fiktif la te parèt nan koòdone a kòm disponib pou voye yon kòd verifikasyon pwopriyetè domèn.
Sous: opennet.ru
