Penyelidik dari watchTowr Labs telah menerbitkan hasil eksperimen yang merampas perkhidmatan WHOIS legasi pendaftar domain .MOBI. Kajian ini didorong oleh perubahan alamat WHOIS oleh pendaftar, yang memindahkannya daripada whois.dotmobiregistry.net kepada hos baharu, whois.nic.mobi. Sementara itu, domain dotmobiregistry.net telah dinyahaktifkan dan dikeluarkan pada Disember 2023, menjadikannya tersedia untuk pendaftaran.
Para penyelidik membelanjakan $20 dan membeli domain ini, kemudian melancarkan perkhidmatan WHOIS palsu mereka sendiri, whois.dotmobiregistry.net, pada pelayan mereka. Anehnya, banyak sistem tidak beralih kepada hos baharu, whois.nic.mobi, tetapi terus menggunakan nama lama. Dari 30 Ogos hingga 4 September tahun ini, 2.5 juta pertanyaan untuk nama lama telah direkodkan, dihantar daripada lebih 135 sistem unik.
Antara penghantar permintaan ialah pos pelayan organisasi kerajaan dan tentera yang menyemak domain yang muncul dalam e-mel melalui WHOIS, syarikat keselamatan dan platform keselamatan (VirusTotal, Group-IB), serta pihak berkuasa pensijilan, perkhidmatan pengesahan domain, perkhidmatan SEO dan pendaftar domain (cth., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io dan webchart.org).
Keupayaan untuk menghantar sebarang data sebagai tindak balas kepada permintaan kepada perkhidmatan WHOIS lama untuk zon domain ".MOBI" telah dieksploitasi untuk membangunkan beberapa jenis serangan terhadap peminta. Serangan pertama adalah berdasarkan andaian bahawa jika seseorang terus meminta perkhidmatan yang telah lama mati, mereka mungkin berbuat demikian menggunakan alat ketinggalan zaman yang mengandungi kerentanan.
Contohnya, pada tahun 2015, kerentanan CVE-2015-5243 telah ditemui dalam phpWHOIS, yang membolehkan pelaksanaan kod penyerang apabila menghuraikan data yang direka khas yang dikembalikan oleh pelayan WHOIS. Satu lagi contoh ialah kerentanan CVE-2021-32749, yang ditemui pada tahun 2021 dalam pakej Fail2Ban, yang membolehkan pelaksanaan kod luaran apabila data yang salah bentuk dikembalikan oleh perkhidmatan WHOIS yang digunakan untuk menjana amaran penyekatan (Fail2Ban menentukan alamat e-mel pentadbir hos melalui WHOIS dan menentukannya semasa menjalankan arahan mel tanpa melepaskan aksara khas dengan betul).
Serangan kedua bergantung pada beberapa CA yang menawarkan keupayaan untuk mengesahkan pemilikan domain melalui alamat e-mel yang disenaraikan dalam pangkalan data pendaftar domain, yang boleh diakses melalui protokol WHOIS. Ternyata beberapa CA yang menyokong kaedah pengesahan ini terus menggunakan pelayan WHOIS lama untuk sambungan domain ".MOBI".
Oleh itu, setelah mendapat kawalan ke atas nama whois.dotmobiregistry.net, penyerang boleh mendapatkan semula data mereka, melakukan pengesahan dan mendapatkannya. Sijil TLS untuk mana-mana domain dalam zon .MOBI." Contohnya, semasa eksperimen, para penyelidik meminta sijil TLS untuk domain microsoft.mobi daripada pendaftar GlobalSign dan e-mel "whois@watchTowr.com" yang dikembalikan oleh perkhidmatan WHOIS rekaan dipaparkan dalam antara muka sebagai tersedia untuk menghantar kod pengesahan pemilikan domain.
Sumber: opennet.ru
