I ricercatori di watchTowr Labs hanno pubblicato i risultati di un esperimento che prevedeva l'acquisizione di un servizio WHOIS obsoleto da un registrar di zona di dominio .MOBI. Il motivo dello studio è che il registrar ha cambiato l'indirizzo del servizio WHOIS, spostandolo dal dominio whois.dotmobiregistry.net al nuovo host whois.nic.mobi. Allo stesso tempo, il dominio dotmobiregistry.net ha cessato di essere utilizzato e nel dicembre 2023 è stato rilasciato ed è diventato disponibile per la registrazione.
I ricercatori hanno speso 20 dollari e hanno acquistato questo dominio, dopo di che hanno lanciato il proprio servizio WHOIS fittizio whois.dotmobiregistry.net sul loro server. La cosa sorprendente è che molti sistemi non sono passati al nuovo host whois.nic.mobi e hanno continuato a utilizzare il vecchio nome. Dal 30 agosto al 4 settembre di quest'anno si sono registrate 2.5 milioni di richieste per il vecchio nome, inviate da più di 135mila sistemi unici.
Tra i mittenti delle richieste c'erano anche postali server organizzazioni governative e militari che hanno controllato i domini che compaiono nelle email tramite WHOIS, aziende e piattaforme di sicurezza (VirusTotal, Group-IB), nonché autorità di certificazione, servizi di verifica dei domini, servizi SEO e registrar di domini (ad esempio, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io e webchart.org).
La possibilità di inviare qualsiasi dato in risposta a una richiesta al vecchio servizio WHOIS della zona del dominio .MOBI è stata utilizzata per sviluppare diversi tipi di attacchi ai richiedenti. Il primo attacco si basava sul presupposto che se qualcuno continua a inviare richieste a un servizio sostituito da tempo, probabilmente lo fa utilizzando strumenti obsoleti contenenti vulnerabilità.
Ad esempio, in phpWHOIS nel 2015 è stata identificata la vulnerabilità CVE-2015-5243, che consente l'esecuzione di codice dell'aggressore durante l'analisi di dati appositamente formattati restituiti dal server WHOIS. Un altro esempio è la vulnerabilità CVE-2021-2021 identificata nel 32749 nel pacchetto Fail2Ban, che consente l'esecuzione di codice esterno quando vengono restituiti dati errati dal servizio WHOIS utilizzato nel processo di generazione di un avviso di blocco (Fail2Ban ha determinato l'e-mail dell'amministratore host tramite WHOIS e specificato durante l'esecuzione del comando mail senza la corretta escape dei caratteri speciali).
Il secondo attacco si basa sul fatto che alcune autorità di certificazione forniscono la possibilità di verificare la proprietà del dominio tramite un'e-mail specificata nel database del registrar del dominio, accessibile tramite il protocollo WHOIS. Si è scoperto che diverse autorità di certificazione che supportano questo metodo di verifica continuano a utilizzare il vecchio server WHOIS per la zona del dominio “.MOBI”.
Pertanto, avendo ottenuto il controllo sul nome whois.dotmobiregistry.net, gli aggressori possono recuperare i loro dati, eseguire la verifica e ottenere Certificato TLS per qualsiasi dominio nella zona .MOBI." Ad esempio, durante l'esperimento, i ricercatori hanno richiesto un certificato TLS per il dominio microsoft.mobi al registrar GlobalSign e l'indirizzo email "whois@watchTowr.com" restituito dal servizio WHOIS fittizio è stato visualizzato nell'interfaccia come disponibile per l'invio di un codice di verifica della proprietà del dominio.
Fonte: opennet.ru
