A watchTowr Labs kutatói közzétették egy kísérlet eredményeit, amely a .MOBI domainregisztrátor régi WHOIS szolgáltatását próbálta eltéríteni. A tanulmányt a regisztrátor WHOIS-címének megváltoztatása indította el, melynek során a whois.dotmobiregistry.net címről egy új, whois.nic.mobi címre helyezték át a címet. Eközben a dotmobiregistry.net domaint 2023 decemberében leszerelték és felszabadították, így elérhetővé vált a regisztráció.
A kutatók 20 dollárt költöttek erre a domainre, majd elindították saját hamis WHOIS szolgáltatásukat, a whois.dotmobiregistry.net-et a szerverükön. Meglepő módon sok rendszer nem váltott át az új whois.nic.mobi hostra, hanem továbbra is a régi nevet használta. Idén augusztus 30. és szeptember 4. között 2.5 millió lekérdezést rögzítettek a régi névre, több mint 135 000 egyedi rendszerről.
A kérelmek feladói között voltak postai küldők is szervereket kormányzati és katonai szervezetek, amelyek a WHOIS-on, biztonsági cégeken és biztonsági platformokon (VirusTotal, Group-IB), valamint hitelesítésszolgáltatókon, domain-ellenőrző szolgáltatásokon, SEO-szolgáltatásokon és domainregisztrátorokon (pl. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io és webchart.org) keresztül ellenőrizték az e-mailekben megjelenő domaineket.
A régi WHOIS szolgáltatásnak a ".MOBI" domain zónára vonatkozó kérésre adott adatküldés lehetőségét kihasználva többféle támadást fejlesztettek ki a kérők ellen. Az első támadás azon a feltételezésen alapult, hogy ha valaki továbbra is kéri a régóta nem működő szolgáltatást, akkor valószínűleg elavult, sebezhetőségeket tartalmazó eszközöket használ.
Például 2015-ben felfedezték a phpWHOIS-ban a CVE-2015-5243 jelű sebezhetőséget, amely lehetővé tette a támadó kód végrehajtását a WHOIS szerver által visszaadott speciálisan létrehozott adatok elemzésekor. Egy másik példa a CVE-2021-32749 jelű sebezhetőség, amelyet 2021-ben fedeztek fel a Fail2Ban csomagban, és amely lehetővé teszi a külső kód végrehajtását, amikor a blokkoló figyelmeztetés generálására használt WHOIS szolgáltatás helytelenül formázott adatokat ad vissza (a Fail2Ban a WHOIS-on keresztül meghatározta a gazdagép adminisztrátorának e-mail címét, és a mail parancs futtatásakor megadta azt anélkül, hogy megfelelően eltávolította volna a speciális karaktereket).
A második támadás azon alapul, hogy egyes hitelesítésszolgáltatók (CA-k) lehetővé teszik a domain tulajdonjogának igazolását a domainregisztrátor adatbázisában szereplő e-mail címen keresztül, amely a WHOIS protokollon keresztül érhető el. Kiderült, hogy számos, ezt az ellenőrzési módszert támogató CA továbbra is a régi WHOIS szervert használja a ".MOBI" domain kiterjesztésekhez.
Így, miután megszerezték az irányítást a whois.dotmobiregistry.net név felett, a támadók lekérhetik az adataikat, ellenőrzést végezhetnek, és megszerezhetik azokat. TLS-tanúsítvány „bármely .MOBI zónában lévő domainhez.” Például a kísérlet során a kutatók TLS-tanúsítványt kértek a microsoft.mobi domainhez a GlobalSign regisztrátortól, és a fiktív WHOIS szolgáltatás által visszaadott „whois@watchTowr.com” e-mail cím a felületen elérhetőként jelent meg a domain tulajdonjog-ellenőrző kód küldésére.
Forrás: opennet.ru
