Mēģinājums iegūt TLS sertifikātus ārvalstu mobi domēniem, izmantojot domēnu, kuram beidzies derīguma termiņš, izmantojot WHOIS pakalpojumu

watchTowr Labs pētnieki ir publicējuši eksperimenta rezultātus, kurā tika nolaupīts domēna .MOBI reģistratūras mantotais WHOIS pakalpojums. Pētījumu rosināja reģistratūras WHOIS adreses maiņa, pārvietojot to no whois.dotmobiregistry.net uz jaunu mitinātāju — whois.nic.mobi. Tikmēr domēns dotmobiregistry.net tika deaktivizēts un atbrīvots 2023. gada decembrī, padarot to pieejamu reģistrācijai.

Pētnieki iztērēja 20 ASV dolārus un iegādājās šo domēnu, pēc tam savā serverī palaida savu viltoto WHOIS pakalpojumu whois.dotmobiregistry.net. Pārsteidzoši, ka daudzas sistēmas nepārslēdzās uz jauno resursdatoru whois.nic.mobi, bet turpināja izmantot veco nosaukumu. No šī gada 30. augusta līdz 4. septembrim tika reģistrēti 2.5 miljoni vaicājumu par veco nosaukumu, kas tika nosūtīti no vairāk nekā 135 000 unikālām sistēmām.

Pieprasījumu sūtītāju vidū bija pasta serveri valdības un militārās organizācijas, kas pārbaudīja e-pastos redzamos domēnus, izmantojot WHOIS, drošības uzņēmumus un drošības platformas (VirusTotal, Group-IB), kā arī sertifikācijas iestādes, domēnu verifikācijas pakalpojumus, SEO pakalpojumus un domēnu reģistratorus (piemēram, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io un webchart.org).

Iespēja nosūtīt jebkādus datus, atbildot uz pieprasījumu, vecajam WHOIS pakalpojumam domēna zonai ".MOBI" tika izmantota, lai izstrādātu vairāku veidu uzbrukumus pret pieprasītājiem. Pirmais uzbrukums bija balstīts uz pieņēmumu, ka, ja kāds turpina pieprasīt sen pārtraukto pakalpojumu, viņš, visticamāk, to dara, izmantojot novecojušus rīkus ar ievainojamībām.

Piemēram, 2015. gadā phpWHOIS tika atklāta ievainojamība CVE-2015-5243, kas ļāva uzbrucējam izpildīt kodu, parsējot WHOIS servera atgrieztos speciāli izstrādātos datus. Vēl viens piemērs ir ievainojamība CVE-2021-32749, kas tika atklāta 2021. gadā Fail2Ban pakotnē un kas ļāva ārēji izpildīt kodu, kad WHOIS pakalpojums, ko izmanto bloķēšanas brīdinājuma ģenerēšanai, atgriež nepareizi veidotus datus (Fail2Ban noteica resursdatora administratora e-pasta adresi, izmantojot WHOIS, un norādīja to, palaižot mail komandu, bez pareizas speciālo rakstzīmju atsoļa).

Otrais uzbrukums balstās uz dažām sertifikācijas iestādēm, kas piedāvā iespēju pārbaudīt domēna īpašumtiesības, izmantojot e-pasta adresi, kas norādīta domēna reģistratūras datubāzē, kurai var piekļūt, izmantojot WHOIS protokolu. Izrādās, ka vairākas sertifikācijas iestādes, kas atbalsta šo verifikācijas metodi, turpina izmantot veco WHOIS serveri domēna paplašinājumam ".MOBI".

Tādējādi, iegūstot kontroli pār vārdu whois.dotmobiregistry.net, uzbrucēji var izgūt savus datus, veikt verifikāciju un iegūt TLS sertifikāts jebkuram domēnam .MOBI zonā." Piemēram, eksperimenta laikā pētnieki pieprasīja TLS sertifikātu microsoft.mobi domēnam no GlobalSign reģistratūras, un fiktīvā WHOIS pakalpojuma atgrieztā e-pasta adrese "whois@watchTowr.com" saskarnē tika parādīta kā pieejama domēna īpašumtiesību verifikācijas koda nosūtīšanai.

Avots: opennet.ru