WatchTowr Labs-ի հետազոտողները հրապարակել են փորձի արդյունքները, որը ներառում է .MOBI տիրույթի գոտու ռեգիստրատորից հնացած WHOIS ծառայության գրավումը: Ուսումնասիրության պատճառն այն էր, որ ռեգիստրատորը փոխել է WHOIS ծառայության հասցեն՝ այն whois.dotmobiregistry.net տիրույթից տեղափոխելով նոր հոսթ whois.nic.mobi։ Միևնույն ժամանակ, dotmobiregistry.net տիրույթը դադարեց օգտագործել և 2023 թվականի դեկտեմբերին այն թողարկվեց և հասանելի դարձավ գրանցման համար։
Հետազոտողները ծախսել են 20 դոլար և գնել այս տիրույթը, որից հետո իրենց սերվերում գործարկել են իրենց հորինված WHOIS ծառայությունը՝ whois.dotmobiregistry.net: Զարմանալին այն էր, որ շատ համակարգեր չանցան նոր host whois.nic.mobi-ին և շարունակեցին օգտագործել հին անվանումը: Այս տարվա օգոստոսի 30-ից սեպտեմբերի 4-ն ընկած ժամանակահատվածում գրանցվել է հին անվանման 2.5 մլն հարցում՝ ուղարկված ավելի քան 135 հազար եզակի համակարգերից։
Հարցումներ ուղարկողների թվում էին փոստային սերվերներ կառավարական և ռազմական կազմակերպություններ, որոնք ստուգել են WHOIS-ի միջոցով էլեկտրոնային նամակներում հայտնվող դոմեյնները, անվտանգության ընկերություններ և անվտանգության հարթակներ (VirusTotal, Group-IB), ինչպես նաև հավաստագրման մարմիններ, դոմեյնի ստուգման ծառայություններ, SEO ծառայություններ և դոմեյնի գրանցողներ (օրինակ՝ domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io և webchart.org):
Ցանկացած տվյալներ ուղարկելու հնարավորությունը՝ ի պատասխան .MOBI տիրույթի գոտու հին WHOIS ծառայության խնդրանքին, օգտագործվել է հայցողների վրա մի քանի տեսակի հարձակումներ մշակելու համար: Առաջին հարձակումը հիմնված էր այն ենթադրության վրա, որ եթե ինչ-որ մեկը շարունակում է հարցումներ ուղարկել երկար ժամանակ փոխարինված ծառայությանը, ապա նրանք, ամենայն հավանականությամբ, դա անում են՝ օգտագործելով խոցելիություններ պարունակող հնացած գործիքներ:
Օրինակ, 2015 թվականին phpWHOIS-ում հայտնաբերվել է CVE-2015-5243 խոցելիությունը, որը թույլ է տալիս հարձակվողի կոդը գործարկել WHOIS սերվերի կողմից վերադարձված հատուկ ձևաչափված տվյալները վերլուծելիս: Մեկ այլ օրինակ է CVE-2021-2021 խոցելիությունը, որը բացահայտվել է 32749 թվականին Fail2Ban փաթեթում, որը թույլ է տալիս արտաքին կոդը գործարկել, երբ սխալ տվյալներ են վերադարձվում WHOIS ծառայության կողմից, որն օգտագործվում է արգելափակման նախազգուշացում ստեղծելու գործընթացում (Fail2Ban-ը որոշել է հյուրընկալողի ադմինիստրատորի էլ. WHOIS-ի միջոցով և նշել այն հրամանի փոստը գործարկելիս՝ առանց հատուկ նիշերից պատշաճ կերպով խուսափելու):
Երկրորդ հարձակումը հիմնված է այն փաստի վրա, որ որոշ հավաստագրման մարմիններ հնարավորություն են տալիս ստուգել տիրույթի սեփականությունը տիրույթի գրանցման տվյալների բազայում նշված էլ.փոստի միջոցով, որը հասանելի է WHOIS արձանագրության միջոցով: Պարզվեց, որ մի քանի հավաստագրման մարմիններ, որոնք աջակցում են այս ստուգման մեթոդին, շարունակում են օգտագործել հին WHOIS սերվերը «.MOBI» տիրույթի գոտու համար:
Այսպիսով, whois.dotmobiregistry.net անվան նկատմամբ վերահսկողություն ձեռք բերելով՝ հարձակվողները կարող են վերականգնել նրանց տվյալները, կատարել ստուգում և ստանալ TLS վկայական .MOBI գոտու ցանկացած դոմեյնի համար»։ Օրինակ՝ փորձի ընթացքում հետազոտողները GlobalSign գրանցողից խնդրեցին microsoft.mobi դոմեյնի TLS վկայական, և ֆիկտիվ WHOIS ծառայության կողմից վերադարձված «whois@watchTowr.com» էլ. փոստը ինտերֆեյսում ցուցադրվեց որպես դոմեյնի սեփականության հաստատման կոդ ուղարկելու համար հասանելի։
Source: opennet.ru
