חוקרים ממעבדות watchTowr פרסמו תוצאות של ניסוי הכולל לכידה של שירות WHOIS מיושן מרשם אזורי תחום .MOBI. הסיבה למחקר הייתה שהרשם שינה את כתובת שירות WHOIS, והעביר אותה מהדומיין whois.dotmobiregistry.net למארח החדש whois.nic.mobi. במקביל, דומיין dotmobiregistry.net הפסיק להיות בשימוש ובדצמבר 2023 הוא שוחרר והפך זמין לרישום.
החוקרים הוציאו 20 דולר וקנו את הדומיין הזה, ולאחר מכן השיקו שירות WHOIS פיקטיבי משלהם whois.dotmobiregistry.net בשרת שלהם. מה שהפתיע הוא שמערכות רבות לא עברו למארח החדש whois.nic.mobi והמשיכו להשתמש בשם הישן. מה-30 באוגוסט ועד ה-4 בספטמבר השנה נרשמו 2.5 מיליון בקשות לשם הישן, שנשלחו מיותר מ-135 אלף מערכות ייחודיות.
בין שולחי הבקשות היו שולחים בדואר שרתים ארגונים ממשלתיים וצבאיים שבדקו את הדומיינים המופיעים במיילים דרך WHOIS, חברות אבטחה ופלטפורמות אבטחה (VirusTotal, Group-IB), כמו גם רשויות אישורים, שירותי אימות דומיינים, שירותי קידום אתרים (SEO) ורשמי דומיינים (למשל, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, ו-webchart.org).
היכולת לשלוח כל מידע בתגובה לבקשה לשירות WHOIS הישן של אזור התחום .MOBI שימשה לפיתוח מספר סוגים של התקפות על מבקשים. המתקפה הראשונה התבססה על ההנחה שאם מישהו ממשיך לשלוח בקשות לשירות שהוחלף זה מכבר, סביר להניח שהוא עושה זאת באמצעות כלים מיושנים המכילים נקודות תורפה.
לדוגמה, ב-phpWHOIS בשנת 2015, זוהתה הפגיעות CVE-2015-5243, המאפשרת לבצע קוד תוקף בעת ניתוח נתונים בפורמט מיוחד שהוחזר על ידי שרת WHOIS. דוגמה נוספת היא הפגיעות CVE-2021-2021 שזוהתה בשנת 32749 בחבילת Fail2Ban, המאפשרת ביצוע קוד חיצוני כאשר נתונים שגויים מוחזרים על ידי שירות WHOIS המשמש בתהליך יצירת אזהרת חסימה (Fail2Ban קבע את האימייל של מנהל המארח באמצעות WHOIS וציינו זאת בעת הפעלת דואר הפקודה ללא בריחה נכונה של תווים מיוחדים).
המתקפה השנייה מבוססת על העובדה שחלק מרשויות האישורים מספקות את היכולת לאמת בעלות על הדומיין באמצעות דואר אלקטרוני שצוין במסד הנתונים של רשם הדומיינים, הנגיש באמצעות פרוטוקול WHOIS. התברר שכמה רשויות אישורים שתומכות בשיטת אימות זו ממשיכות להשתמש בשרת WHOIS הישן עבור אזור התחום ".MOBI".
לפיכך, לאחר שהשיגו שליטה על השם whois.dotmobiregistry.net, התוקפים יכולים לאחזר את הנתונים שלהם, לבצע אימות ולהשיג תעודת TLS עבור כל דומיין באזור .MOBI." לדוגמה, במהלך הניסוי, החוקרים ביקשו אישור TLS עבור הדומיין microsoft.mobi מרשם GlobalSign, והדוא"ל "whois@watchTowr.com" שהוחזר על ידי שירות WHOIS הבדיוני הוצג בממשק כזמין לשליחת קוד אימות בעלות על דומיין.
מקור: OpenNet.ru
