Истражувачите од WatchTowr Labs ги објавија резултатите од експериментот кој вклучува снимање на застарена услуга WHOIS од регистратор на домен зона .MOBI. Причината за студијата беше тоа што регистраторот ја смени адресата на услугата WHOIS, преместувајќи ја од доменот whois.dotmobiregistry.net на новиот домаќин whois.nic.mobi. Во исто време, доменот dotmobiregistry.net престана да се користи и во декември 2023 година беше објавен и стана достапен за регистрација.
Истражувачите потрошиле 20 долари и го купиле овој домен, по што лансирале сопствена фиктивна услуга WHOIS whois.dotmobiregistry.net на нивниот сервер. Она што беше изненадувачки е што многу системи не се префрлија на новиот домаќин whois.nic.mobi и продолжија да го користат старото име. Од 30 август до 4 септември годинава евидентирани се 2.5 милиони барања за старото име, испратени од повеќе од 135 илјади уникатни системи.
Меѓу испраќачите на барањата беа поштенските сервери владини и воени организации кои ги проверуваа домените што се појавуваа во е-поштата преку WHOIS, безбедносни компании и безбедносни платформи (VirusTotal, Group-IB), како и органи за сертификација, услуги за верификација на домени, SEO услуги и регистратори на домени (на пр., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io и webchart.org).
Способноста да се испраќаат какви било податоци како одговор на барање до старата услуга WHOIS од зоната на доменот .MOBI беше искористена за развој на неколку видови напади врз барателите. Првиот напад беше заснован на претпоставката дека ако некој продолжи да испраќа барања до долго заменета услуга, тогаш најверојатно тоа го прави користејќи застарена алатка која содржи пропусти.
На пример, во phpWHOIS во 2015 година, беше идентификувана ранливоста CVE-2015-5243, која овозможува да се изврши кодот на напаѓачот при парсирање на специјално форматирани податоци вратени од серверот WHOIS. Друг пример е ранливоста CVE-2021-2021 идентификувана во 32749 година во пакетот Fail2Ban, што овозможува да се изврши надворешен код кога се враќаат неточни податоци од услугата WHOIS што се користи во процесот на генерирање предупредување за блокирање (Fail2Ban ја одреди е-поштата на администраторот на домаќинот преку WHOIS и го наведе при извршување на командната пошта без соодветно бегство од специјални знаци).
Вториот напад се заснова на фактот дека некои овластувања за сертификација обезбедуваат можност да се потврди сопственоста на доменот преку е-пошта наведена во базата на податоци за регистратор на домен, достапна преку протоколот WHOIS. Се покажа дека неколку авторитети за сертификација кои го поддржуваат овој метод на верификација продолжуваат да го користат стариот сервер WHOIS за зоната на доменот „.MOBI“.
Така, откако ќе добијат контрола врз името whois.dotmobiregistry.net, напаѓачите можат да ги преземат нивните податоци, да извршат верификација и да добијат TLS сертификат за кој било домен во зоната .MOBI“. На пример, за време на експериментот, истражувачите побарале TLS сертификат за доменот microsoft.mobi од регистраторот на GlobalSign, а е-поштата „whois@watchTowr.com“ вратена од фиктивната WHOIS услуга била прикажана во интерфејсот како достапна за испраќање код за верификација на сопственост на домен.
Извор: opennet.ru
