Peneliti saka watchTowr Labs wis nerbitake asil eksperimen sing nglibatake panangkepan layanan WHOIS sing wis lawas saka pendaftar zona domain .MOBI. Alesan kanggo sinau yaiku registrar ngganti alamat layanan WHOIS, pindhah saka domain whois.dotmobiregistry.net menyang host anyar whois.nic.mobi. Ing wektu sing padha, domain dotmobiregistry.net ora bisa digunakake lan ing Desember 2023 dirilis lan kasedhiya kanggo registrasi.
Peneliti mbuwang $ 20 lan tuku domain iki, lan banjur ngluncurake layanan WHOIS fiktif dhewe whois.dotmobiregistry.net ing server. Apa sing nggumunake yaiku akeh sistem sing ora ngalih menyang host anyar whois.nic.mobi lan terus nggunakake jeneng lawas. Saka 30 Agustus nganti 4 September taun iki, 2.5 yuta panjalukan kanggo jeneng lawas dicathet, dikirim saka luwih saka 135 ewu sistem unik.
Antarane pengirim panjalukan yaiku pos server organisasi pemerintah lan militer sing mriksa domain sing katon ing email liwat WHOIS, perusahaan keamanan lan platform keamanan (VirusTotal, Group-IB), uga otoritas sertifikasi, layanan verifikasi domain, layanan SEO, lan pendaftar domain (kayata, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, lan webchart.org).
Kemampuan kanggo ngirim data apa wae kanggo nanggepi panjalukan layanan WHOIS lawas saka zona domain .MOBI digunakake kanggo ngembangake sawetara jinis serangan marang panjaluk. Serangan pisanan adhedhasar asumsi yen ana wong sing terus ngirim panjaluk menyang layanan sing wis suwe diganti, mula bisa uga nggunakake piranti lawas sing ngemot kerentanan.
Contone, ing phpWHOIS ing 2015, kerentanan CVE-2015-5243 diidentifikasi, sing ngidini kode panyerang bisa dieksekusi nalika ngurai data sing diformat khusus sing dibalekake dening server WHOIS. Conto liyane yaiku kerentanan CVE-2021-2021 sing diidentifikasi ing taun 32749 ing paket Fail2Ban, sing ngidini kode eksternal dieksekusi nalika data sing salah dibalekake dening layanan WHOIS sing digunakake ing proses ngasilake bebaya pamblokiran (Fail2Ban nemtokake email administrator host. liwat WHOIS lan ditemtokake nalika mbukak surat perintah tanpa karakter khusus sing uwal).
Serangan kapindho adhedhasar kasunyatan manawa sawetara panguwasa sertifikasi nyedhiyakake kemampuan kanggo verifikasi kepemilikan domain liwat email sing ditemtokake ing database registrar domain, bisa diakses liwat protokol WHOIS. Ternyata sawetara panguwasa sertifikasi sing ndhukung metode verifikasi iki terus nggunakake server WHOIS lawas kanggo zona domain ".MOBI".
Dadi, sawise entuk kendali atas jeneng whois.dotmobiregistry.net, penyerang bisa njupuk datane, nindakake verifikasi, lan entuk Sertifikat TLS kanggo domain apa wae ing zona .MOBI." Contone, sajrone eksperimen, para peneliti njaluk sertifikat TLS kanggo domain microsoft.mobi saka registrar GlobalSign, lan email "whois@watchTowr.com" sing dibalekake dening layanan WHOIS fiktif ditampilake ing antarmuka minangka kasedhiya kanggo ngirim kode verifikasi kepemilikan domain.
Source: opennet.ru
