watchTowr Labs の研究者は、.MOBI ドメイン ゾーン レジストラから古い WHOIS サービスをキャプチャする実験の結果を発表しました。調査の理由は、レジストラが WHOIS サービス アドレスを変更し、ドメイン whois.dotmobiregistry.net から新しいホスト whois.nic.mobi に移動したためです。同時に、dotmobiregistry.net ドメインは使用されなくなり、2023 年 XNUMX 月に解放され、登録できるようになりました。
研究者らは 20 ドルを費やしてこのドメインを購入し、その後、サーバー上で独自の架空の WHOIS サービス whois.dotmobiregistry.net を開始しました。驚いたのは、多くのシステムが新しいホスト whois.nic.mobi に切り替えず、古い名前を使用し続けたことです。今年 30 月 4 日から 2.5 月 135 日までに、XNUMX 万 XNUMX を超える固有のシステムから送信された、古い名前に対する XNUMX 万件のリクエストが記録されました。
要請の送信者の中には郵便局員もいた。 サーバー WHOIS 経由でメール内に記載されているドメインをチェックした政府機関および軍事組織、セキュリティ企業およびセキュリティ プラットフォーム (VirusTotal、Group-IB)、認証局、ドメイン検証サービス、SEO サービス、ドメイン レジストラ (domain.com、godaddy.com、who.is、whois.ru、smallseo.tools、seocheki.net、centralops.net、name.com、urlscan.io、webchart.org など)。
.MOBI ドメイン ゾーンの古い WHOIS サービスへのリクエストに応じて任意のデータを送信できる機能は、リクエスト者に対するいくつかの種類の攻撃を開発するために使用されました。最初の攻撃は、誰かが長い間置き換えられたサービスにリクエストを送信し続ける場合、脆弱性を含む古いツールを使用して送信している可能性が高いという仮定に基づいていました。
たとえば、2015 年の phpWHOIS では、CVE-2015-5243 脆弱性が確認されました。これにより、WHOIS サーバーから返された特別な形式のデータを解析する際に、攻撃者コードが実行される可能性があります。もう 2021 つの例は、Fail2021Ban パッケージで 32749 年に特定された脆弱性 CVE-2-2 です。この脆弱性により、ブロック警告を生成するプロセスで使用される WHOIS サービスによって誤ったデータが返されたときに、外部コードが実行される可能性があります (FailXNUMXBan は、ホスト管理者の電子メールを特定しました) WHOIS 経由で、特殊文字を適切にエスケープせずにメール コマンドを実行するときに指定しました)。
2 番目の攻撃は、一部の認証局が、WHOIS プロトコル経由でアクセスできる、ドメイン レジストラ データベースで指定された電子メールを通じてドメインの所有権を確認する機能を提供しているという事実に基づいています。この検証方法をサポートしているいくつかの認証局が、「.MOBI」ドメイン ゾーンに古い WHOIS サーバーを使用し続けていることが判明しました。
このように、whois.dotmobiregistry.netという名前を制御できる攻撃者は、データを取得し、検証を実行し、 TLS証明書 .MOBI ゾーンの任意のドメインの場合。」 たとえば、実験中、研究者は GlobalSign レジストラに microsoft.mobi ドメインの TLS 証明書を要求し、架空の WHOIS サービスから返された電子メール「whois@watchTowr.com」が、ドメイン所有権検証コードの送信に使用できるものとしてインターフェイスに表示されました。
出所: オープンネット.ru
