Onderzoekers van watchTowr Labs hebben de resultaten gepubliceerd van een experiment waarbij een verouderde WHOIS-service van een .MOBI-domeinzoneregistrar werd overgenomen. De reden voor het onderzoek was dat de registrar het WHOIS-serviceadres veranderde en verplaatste van het domein whois.dotmobiregistry.net naar de nieuwe host whois.nic.mobi. Tegelijkertijd werd het dotmobiregistry.net-domein niet meer gebruikt en in december 2023 werd het vrijgegeven en beschikbaar voor registratie.
De onderzoekers spendeerden $20 en kochten dit domein, waarna ze hun eigen fictieve WHOIS-dienst whois.dotmobiregistry.net op hun server lanceerden. Wat verrassend was, was dat veel systemen niet overschakelden naar de nieuwe host whois.nic.mobi en de oude naam bleven gebruiken. Van 30 augustus tot 4 september dit jaar zijn er 2.5 miljoen aanvragen voor de oude naam geregistreerd, verzonden vanuit ruim 135 duizend unieke systemen.
Onder de indieners van verzoeken bevonden zich poststukken. severen Overheids- en militaire organisaties die de domeinen in e-mails controleren via WHOIS, beveiligingsbedrijven en beveiligingsplatformen (VirusTotal, Group-IB), evenals certificeringsinstanties, domeinverificatieservices, SEO-services en domeinregistrators (bijv. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io en webchart.org).
De mogelijkheid om gegevens als reactie op een verzoek naar de oude WHOIS-service van de .MOBI-domeinzone te sturen, werd gebruikt om verschillende soorten aanvallen op aanvragers te ontwikkelen. De eerste aanval was gebaseerd op de veronderstelling dat als iemand verzoeken blijft sturen naar een dienst die al lang vervangen is, hij dit waarschijnlijk doet met behulp van verouderde tools die kwetsbaarheden bevatten.
In phpWHOIS in 2015 werd bijvoorbeeld de kwetsbaarheid CVE-2015-5243 geïdentificeerd, waardoor aanvallercode kan worden uitgevoerd bij het parseren van speciaal opgemaakte gegevens die door de WHOIS-server worden geretourneerd. Een ander voorbeeld is de kwetsbaarheid CVE-2021-2021 die in 32749 werd geïdentificeerd in het Fail2Ban-pakket, waardoor externe code kan worden uitgevoerd wanneer onjuiste gegevens worden geretourneerd door de WHOIS-service die wordt gebruikt bij het genereren van een blokkeringswaarschuwing (Fail2Ban heeft het e-mailadres van de hostbeheerder vastgesteld via WHOIS en specificeerde dit bij het uitvoeren van de opdrachtmail zonder de juiste ontsnapping van speciale tekens).
De tweede aanval is gebaseerd op het feit dat sommige certificeringsinstanties de mogelijkheid bieden om het domeineigendom te verifiëren via een e-mailadres dat is opgegeven in de database van de domeinregistreerder en toegankelijk is via het WHOIS-protocol. Het bleek dat verschillende certificeringsinstanties die deze verificatiemethode ondersteunen, de oude WHOIS-server blijven gebruiken voor de domeinzone “.MOBI”.
Zodra aanvallers de controle over de naam whois.dotmobiregistry.net hebben verkregen, kunnen ze de gegevens ophalen, verifiëren en toegang krijgen tot de domeinnaam whois.dotmobiregistry.net. TLS-certificaat Voor elk domein in de .MOBI-zone." Tijdens het experiment vroegen de onderzoekers bijvoorbeeld een TLS-certificaat aan voor het domein microsoft.mobi bij de registrar GlobalSign, en het e-mailadres "whois@watchTowr.com" dat door de fictieve WHOIS-service werd geretourneerd, werd in de interface weergegeven als beschikbaar voor het verzenden van een verificatiecode voor domeineigendom.
Bron: opennet.ru
