Rannsakendur frá watchTowr Labs hafa birt niðurstöður tilraunar sem rændi eldri WHOIS þjónustu lénsskráningarfyrirtækisins .MOBI. Rannsóknin var knúin áfram af breytingu skráningarfyrirtækisins á WHOIS vistfanginu og færði það frá whois.dotmobiregistry.net yfir á nýjan vefþjón, whois.nic.mobi. Á sama tíma var dotmobiregistry.net lénið tekið úr notkun og gefið út í desember 2023, sem gerir það aðgengilegt til skráningar.
Rannsakendurnir eyddu 20 dollurum og keyptu þetta lén og settu síðan af stað sína eigin falsa WHOIS þjónustu, whois.dotmobiregistry.net, á netþjóni sínum. Það kom á óvart að mörg kerfi skiptu ekki yfir í nýja vefþjóninn, whois.nic.mobi, heldur héldu áfram að nota gamla nafnið. Frá 30. ágúst til 4. september þessa árs voru 2.5 milljónir fyrirspurna um gamla nafnið skráðar, sendar frá meira en 135 einstökum kerfum.
Meðal sendenda beiðna voru póstsendingar netþjónar ríkisstofnanir og hernaðarstofnanir sem athuguðu lén sem birtust í tölvupóstum í gegnum WHOIS, öryggisfyrirtæki og öryggisvettvangi (VirusTotal, Group-IB), sem og vottunarstofur, lénastaðfestingarþjónustur, SEO þjónustur og lénaskráningaraðilar (t.d. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io og webchart.org).
Möguleikinn á að senda hvaða gögn sem er í kjölfar beiðni til gömlu WHOIS þjónustunnar fyrir lénssvæðið „.MOBI“ var nýttur til að þróa nokkrar gerðir árása gegn beiðendum. Fyrsta árásin byggðist á þeirri forsendu að ef einhver heldur áfram að biðja um þjónustuna sem lengi hefur verið óvirk, þá sé viðkomandi líklega að gera það með úreltum verkfærum sem innihalda veikleika.
Til dæmis, árið 2015 var öryggisgalla CVE-2015-5243 uppgötvaður í phpWHOIS, sem gerði árásarmönnum kleift að keyra kóða þegar þeir greindu sérsmíðuð gögn sem WHOIS-þjónninn skilaði. Annað dæmi er öryggisgalla CVE-2021-32749, sem uppgötvaðist árið 2021 í Fail2Ban pakkanum, sem gerir kleift að keyra utanaðkomandi kóða þegar gölluð gögn skila frá WHOIS þjónustan sem notuð er til að búa til viðvörun um lokun (Fail2Ban ákvarðaði netfang hýsingarstjórans í gegnum WHOIS og tilgreindi það þegar mail skipunin var keyrð án þess að nota rétta undantekningarkóða).
Önnur árásin byggir á því að sumar vottunarstofnanir bjóða upp á möguleikann á að staðfesta eignarhald léns með netfangi sem er skráð í gagnagrunni lénsskráningaraðila, sem er aðgengilegt í gegnum WHOIS samskiptareglurnar. Það kemur í ljós að nokkrar vottunarstofnanir sem styðja þessa staðfestingaraðferð halda áfram að nota gamla WHOIS netþjóninn fyrir lénsviðskeytið „.MOBI“.
Þannig, eftir að hafa náð stjórn á nafninu whois.dotmobiregistry.net, geta árásarmenn sótt gögn þeirra, framkvæmt staðfestingu og fengið... TLS-vottorð fyrir hvaða lén sem er í .MOBI svæðinu.“ Til dæmis, meðan á tilrauninni stóð, báðu vísindamennirnir um TLS vottorð fyrir microsoft.mobi lénið frá skrásetjara GlobalSign og netfangið „whois@watchTowr.com“ sem skilað var af uppspunnu WHOIS þjónustan birtist í viðmótinu sem tiltækt til að senda staðfestingarkóða fyrir lénseign.
Heimild: opennet.ru
