watchTowr Labs-ийн судлаачид .MOBI домэйн бүртгэгчийн хуучин WHOIS үйлчилгээг булаан авах туршилтын үр дүнг нийтэлжээ. Энэхүү судалгааг бүртгэгч WHOIS хаягийг өөрчилж, whois.dotmobiregistry.net хаягаас whois.nic.mobi гэсэн шинэ хост руу шилжүүлсэнтэй холбоотойгоор эхлүүлсэн. Үүний зэрэгцээ, dotmobiregistry.net домэйныг 2023 оны 12-р сард ашиглалтаас гаргаж, бүртгүүлэх боломжтой болгосон.
Судлаачид 20 доллар зарцуулж энэ домэйныг худалдаж авсны дараа сервер дээрээ өөрсдийн хуурамч WHOIS үйлчилгээ болох whois.dotmobiregistry.net-ийг нэвтрүүлжээ. Гайхалтай нь олон систем шинэ хост болох whois.nic.mobi руу шилжээгүй, харин хуучин нэрийг нь ашигласаар байв. Энэ оны 8-р сарын 30-наас 9-р сарын 4-ний хооронд 135,000 гаруй өвөрмөц системээс илгээсэн хуучин нэрийн 2.5 сая хүсэлтийг бүртгэжээ.
Хүсэлт илгээгчдийн дунд шуудангаар илгээсэн хүмүүс байсан серверүүд WHOIS, аюулгүй байдлын компаниуд болон аюулгүй байдлын платформууд (VirusTotal, Group-IB), мөн гэрчилгээжүүлэх байгууллагууд, домэйн баталгаажуулалтын үйлчилгээ, SEO үйлчилгээ, домэйн бүртгэгчид (жишээ нь, domain.com, godaddy.com, who.is, whois.ru, smalleseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, болон webchart.org)-ээр дамжуулан имэйлд гарч буй домэйнуудыг шалгасан засгийн газар болон цэргийн байгууллагууд.
".MOBI" домэйн бүсийн хуучин WHOIS үйлчилгээнд хүсэлтийн хариуд ямар ч өгөгдөл илгээх чадварыг ашиглан хүсэлт гаргагчдын эсрэг хэд хэдэн төрлийн халдлага боловсруулсан. Эхний халдлага нь хэрэв хэн нэгэн удаан хугацаанд ашиглагдаагүй үйлчилгээг үргэлжлүүлэн хүсвэл эмзэг байдал агуулсан хуучирсан хэрэгслүүдийг ашиглан үүнийг хийж байгаа гэсэн таамаглал дээр үндэслэсэн байв.
Жишээлбэл, 2015 онд phpWHOIS дээр CVE-2015-5243 эмзэг байдал илэрсэн бөгөөд энэ нь WHOIS серверээс буцаасан тусгайлан боловсруулсан өгөгдлийг задлан шинжлэх үед халдагчийн кодыг гүйцэтгэх боломжийг олгодог. Өөр нэг жишээ бол 2021 онд Fail2Ban багцад илэрсэн CVE-2021-32749 эмзэг байдал бөгөөд энэ нь хаах анхааруулга үүсгэхэд ашигласан WHOIS үйлчилгээнээс буруу хэлбэртэй өгөгдөл буцаагдах үед гадаад кодыг гүйцэтгэх боломжийг олгодог (Fail2Ban нь хост админы имэйл хаягийг WHOIS-ээр дамжуулан тодорхойлж, тусгай тэмдэгтээс зайлсхийхгүйгээр mail командыг ажиллуулахдаа зааж өгсөн).
Хоёр дахь халдлага нь WHOIS протоколоор дамжуулан хандах боломжтой домэйн бүртгэгчийн мэдээллийн санд жагсаасан имэйл хаягаар дамжуулан домэйн өмчлөлийг баталгаажуулах боломжийг санал болгодог зарим CA-д тулгуурладаг. Энэхүү баталгаажуулалтын аргыг дэмждэг хэд хэдэн CA нь ".MOBI" домэйн өргөтгөлийн хувьд хуучин WHOIS серверийг ашигласаар байгаа нь тогтоогджээ.
Тиймээс whois.dotmobiregistry.net нэрийг хяналтандаа авснаар халдагчид өөрсдийн өгөгдлийг сэргээж, баталгаажуулалт хийж, олж авах боломжтой. TLS гэрчилгээ ".MOBI бүсийн аль ч домэйны хувьд." Жишээлбэл, туршилтын үеэр судлаачид GlobalSign бүртгэгчээс microsoft.mobi домэйны TLS гэрчилгээг хүссэн бөгөөд зохиомол WHOIS үйлчилгээгээр буцаасан "whois@watchTowr.com" имэйлийг интерфэйс дээр домэйн өмчлөлийн баталгаажуулалтын код илгээх боломжтой гэж харуулсан.
Эх сурвалж: opennet.ru
