Fuerscher vun watchTowr Labs hunn d'Resultater vun engem Experiment publizéiert, deen d'Erfaassung vun engem vergaangene WHOIS-Service vun engem .MOBI Domain Zone Registrar involvéiert. De Grond fir d'Etude war datt de Registrar d'WHOIS Service Adress geännert huet, se vun der Domain whois.dotmobiregistry.net op den neien Host whois.nic.mobi geplënnert. Zur selwechter Zäit huet d'dotmobiregistry.net Domain opgehalen ze benotzen an am Dezember 2023 gouf et verëffentlecht a gouf fir Aschreiwung verfügbar.
D'Fuerscher hunn $ 20 ausginn an hunn dës Domain kaaft, duerno hunn se hiren eegene fiktive WHOIS-Service whois.dotmobiregistry.net op hirem Server lancéiert. Wat iwwerrascht war, datt vill Systemer net op den neien Host whois.nic.mobi gewiesselt hunn a weider den alen Numm benotzen. Vum 30. August bis de 4. September dëst Joer goufen 2.5 Milliounen Ufroe fir den alen Numm opgeholl, aus méi wéi 135 Tausend eenzegaarteg Systemer geschéckt.
Ënnert den Absender vun den Ufroen waren och Postleitzuelen Serveren Regierungs- a Militärorganisatiounen, déi d'Domainnen, déi an E-Maile iwwer WHOIS erschéngen, iwwerpréift hunn, Sécherheetsfirmen a Sécherheetsplattformen (VirusTotal, Group-IB), souwéi Zertifizéierungsautoritéiten, Domainverifizéierungsservicer, SEO-Servicer an Domainregistrarer (z.B. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, a webchart.org).
D'Kapazitéit fir all Daten als Äntwert op eng Ufro un den alen WHOIS Service vun der .MOBI Domain Zone ze schécken, gouf benotzt fir verschidden Aarte vun Attacken op Ufroen z'entwéckelen. Den éischten Attack war op der Virgab baséiert datt wann iergendeen weider Ufroe fir e laang ersat Service schécken, da maache se dat méiglecherweis mat verouderte Tooling mat Schwachstelle.
Zum Beispill, am phpWHOIS am Joer 2015, gouf d'CVE-2015-5243 Schwachstelle identifizéiert, wat et erlaabt den Ugräifer Code auszeféieren wann Dir speziell formatéiert Daten parséiert, déi vum WHOIS Server zréckginn. En anert Beispill ass d'Schwachheet CVE-2021-2021 identifizéiert am 32749 am Fail2Ban Package, wat et erlaabt externe Code auszeféieren wann falsch Daten vum WHOIS Service zréckginn, deen am Prozess vun der Generatioun vun enger Spärwarnung benotzt gëtt (Fail2Ban huet d'E-Mail vum Hostadministrator bestëmmt iwwer WHOIS a spezifizéiert et wann Dir de Kommando Mail leeft ouni richteg Flucht vu speziellen Zeechen).
Déi zweet Attack baséiert op der Tatsaach, datt e puer Zertifizéierungsautoritéiten d'Fäegkeet ubidden fir d'Domainbesëtzung duerch eng E-Mail ze verifizéieren, déi an der Domain Registrar Datebank spezifizéiert ass, zougänglech iwwer de WHOIS Protokoll. Et huet sech erausgestallt datt verschidde Zertifizéierungsautoritéiten, déi dës Verifizéierungsmethod ënnerstëtzen, weider den alen WHOIS Server fir d'.MOBI Domain Zone benotzen.
Sou kënnen d'Attacker, nodeems se d'Kontroll iwwer den Numm whois.dotmobiregistry.net gewonnen hunn, hir Donnéeën ofrufen, eng Verifizéierung duerchféieren an ... TLS-Zertifikat fir all Domain an der .MOBI Zon." Zum Beispill, während dem Experiment hunn d'Fuerscher en TLS-Zertifikat fir d'microsoft.mobi Domain vum GlobalSign Registrar ugefrot, an d'E-Mail "whois@watchTowr.com", déi vum fiktive WHOIS Service zréckginn gouf, gouf an der Interface als verfügbar fir d'Schécken vun engem Domainbesëtzerverifizéierungscode ugewisen.
Source: opennet.ru
