watchTowr Labs зерттеушілері .MOBI домен тіркеушісінің ескірген WHOIS қызметін басып алу бойынша эксперимент нәтижелерін жариялады. Зерттеуге тіркеушінің WHOIS мекенжайын өзгертуі, оны whois.dotmobiregistry.net сайтынан жаңа хостқа, whois.nic.mobi сайтына ауыстыруы себеп болды. Сонымен қатар, dotmobiregistry.net домені 2023 жылдың желтоқсанында пайдаланудан шығарылып, тіркелуге қолжетімді болды.
Зерттеушілер 20 доллар жұмсап, осы доменді сатып алды, содан кейін өз серверлерінде өздерінің жалған WHOIS қызметін, whois.dotmobiregistry.net, іске қосты. Таңқаларлығы, көптеген жүйелер жаңа хостқа, whois.nic.mobi-ге ауыспады, бірақ ескі атауын пайдалануды жалғастырды. Осы жылдың 30 тамызынан 4 қыркүйегіне дейін 135 000-нан астам бірегей жүйелерден жіберілген ескі атауға 2.5 миллион сұраныс тіркелді.
Сұраныс жіберушілердің арасында пошта жөнелтушілері де болды серверлер WHOIS, қауіпсіздік компаниялары және қауіпсіздік платформалары (VirusTotal, Group-IB), сондай-ақ сертификаттау органдары, доменді тексеру қызметтері, SEO қызметтері және домен тіркеушілері (мысалы, domain.com, godaddy.com, who.is, whois.ru, smalleso.tools, seocheki.net, centralops.net, name.com, urlscan.io және webchart.org) арқылы электрондық пошталарда пайда болатын домендерді тексерген үкіметтік және әскери ұйымдар.
".MOBI" домен аймағы үшін ескі WHOIS қызметіне сұранысқа жауап ретінде кез келген деректерді жіберу мүмкіндігі сұраныс берушілерге қарсы бірнеше шабуыл түрлерін әзірлеу үшін пайдаланылды. Бірінші шабуыл егер біреу бұрыннан жұмыс істемейтін қызметті сұрауды жалғастыра берсе, олар мұны осалдықтары бар ескірген құралдарды пайдаланып жасайтын болуы мүмкін деген болжамға негізделген.
Мысалы, 2015 жылы phpWHOIS-те CVE-2015-5243 осалдық анықталды, бұл WHOIS сервері қайтарған арнайы жасалған деректерді талдау кезінде шабуылдаушы кодын орындауға мүмкіндік береді. Тағы бір мысал - 2021 жылы Fail2Ban пакетінде анықталған CVE-2021-32749 осалдық, ол бұғаттау туралы ескерту жасау үшін пайдаланылатын WHOIS қызметі бұрмаланған деректерді қайтарған кезде сыртқы кодты орындауға мүмкіндік береді (Fail2Ban хост әкімшісінің электрондық пошта мекенжайын WHOIS арқылы анықтап, арнайы таңбалардан дұрыс қашпай, пошта командасын іске қосқан кезде оны көрсетті).
Екінші шабуыл WHOIS протоколы арқылы қолжетімді домен тіркеушісінің дерекқорында көрсетілген электрондық пошта мекенжайы арқылы доменге меншік құқығын тексеру мүмкіндігін ұсынатын кейбір CA-ларға негізделген. Бұл тексеру әдісін қолдайтын бірнеше CA ескі WHOIS серверін ".MOBI" домен кеңейтімі үшін пайдалануды жалғастыратыны белгілі болды.
Осылайша, whois.dotmobiregistry.net атауын бақылауға алғаннан кейін, шабуылдаушылар олардың деректерін қалпына келтіре алады, тексере алады және ала алады TLS сертификаты .MOBI аймағындағы кез келген домен үшін." Мысалы, эксперимент барысында зерттеушілер GlobalSign тіркеушісінен microsoft.mobi домені үшін TLS сертификатын сұрады, ал жалған WHOIS қызметі қайтарған "whois@watchTowr.com" электрондық поштасы интерфейсте доменге меншік құқығын растау кодын жіберу үшін қолжетімді ретінде көрсетілді.
Ақпарат көзі: opennet.ru
