Para peneliti dari watchTowr Labs telah menerbitkan hasil eksperimen yang membajak layanan WHOIS lama dari pendaftar domain .MOBI. Penelitian ini dipicu oleh perubahan alamat WHOIS pendaftar, yang memindahkannya dari whois.dotmobiregistry.net ke host baru, whois.nic.mobi. Sementara itu, domain dotmobiregistry.net dinonaktifkan dan dirilis pada Desember 2023, sehingga tersedia untuk didaftarkan.
Para peneliti menghabiskan $20 untuk membeli domain ini, lalu meluncurkan layanan WHOIS palsu mereka sendiri, whois.dotmobiregistry.net, di server mereka. Anehnya, banyak sistem tidak beralih ke host baru, whois.nic.mobi, tetapi tetap menggunakan nama lama. Dari 30 Agustus hingga 4 September tahun ini, tercatat 2.5 juta kueri untuk nama lama, yang dikirim dari lebih dari 135 sistem unik.
Di antara pengirim permintaan tersebut terdapat layanan pos. server Organisasi pemerintah dan militer yang memeriksa domain yang muncul dalam email melalui WHOIS, perusahaan keamanan dan platform keamanan (VirusTotal, Group-IB), serta otoritas sertifikasi, layanan verifikasi domain, layanan SEO, dan pendaftar domain (misalnya, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, dan webchart.org).
Kemampuan untuk mengirimkan data apa pun sebagai respons atas permintaan ke layanan WHOIS lama untuk zona domain ".MOBI" dieksploitasi untuk mengembangkan beberapa jenis serangan terhadap pemohon. Serangan pertama didasarkan pada asumsi bahwa jika seseorang terus meminta layanan yang sudah lama tidak digunakan, kemungkinan besar mereka melakukannya menggunakan alat usang yang mengandung kerentanan.
Misalnya, pada tahun 2015, kerentanan CVE-2015-5243 ditemukan di phpWHOIS, yang memungkinkan eksekusi kode penyerang saat mengurai data yang dibuat khusus yang dikembalikan oleh server WHOIS. Contoh lain adalah kerentanan CVE-2021-32749, yang ditemukan pada tahun 2021 dalam paket Fail2Ban, yang memungkinkan eksekusi kode eksternal ketika data yang salah format dikembalikan oleh layanan WHOIS yang digunakan untuk menghasilkan peringatan pemblokiran (Fail2Ban menentukan alamat email administrator host melalui WHOIS dan menentukannya saat menjalankan perintah mail tanpa melakukan escape karakter khusus dengan benar).
Serangan kedua mengandalkan beberapa CA yang menawarkan kemampuan untuk memverifikasi kepemilikan domain melalui alamat email yang tercantum dalam basis data pendaftar domain, yang dapat diakses melalui protokol WHOIS. Ternyata beberapa CA yang mendukung metode verifikasi ini masih menggunakan server WHOIS lama untuk ekstensi domain ".MOBI".
Dengan demikian, setelah menguasai nama whois.dotmobiregistry.net, penyerang dapat mengambil data mereka, melakukan verifikasi, dan memperoleh informasi. Sertifikat TLS untuk domain apa pun di zona .MOBI." Misalnya, selama percobaan, para peneliti meminta sertifikat TLS untuk domain microsoft.mobi dari registrar GlobalSign, dan email "whois@watchTowr.com" yang dikembalikan oleh layanan WHOIS fiktif ditampilkan di antarmuka sebagai tersedia untuk mengirimkan kode verifikasi kepemilikan domain.
Sumber: opennet.ru
