Forskere fra watchTowr Labs har publisert resultatene av et eksperiment som involverer fangst av en utdatert WHOIS-tjeneste fra en .MOBI-domeneregistrator. Årsaken til studien var at registraren endret WHOIS-tjenesteadressen, og flyttet den fra domenet whois.dotmobiregistry.net til den nye verten whois.nic.mobi. Samtidig sluttet dotmobiregistry.net-domenet å brukes og i desember 2023 ble det utgitt og ble tilgjengelig for registrering.
Forskerne brukte $20 og kjøpte dette domenet, hvoretter de lanserte sin egen fiktive WHOIS-tjeneste whois.dotmobiregistry.net på serveren deres. Det som var overraskende var at mange systemer ikke byttet til den nye verten whois.nic.mobi og fortsatte å bruke det gamle navnet. Fra 30. august til 4. september i år ble det registrert 2.5 millioner forespørsler om det gamle navnet, sendt fra mer enn 135 tusen unike systemer.
Blant avsenderne av forespørslene var postbud servere myndigheter og militære organisasjoner som sjekket domenene som dukket opp i e-poster via WHOIS, sikkerhetsselskaper og sikkerhetsplattformer (VirusTotal, Group-IB), samt sertifiseringsmyndigheter, domeneverifiseringstjenester, SEO-tjenester og domeneregistratorer (f.eks. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io og webchart.org).
Muligheten til å sende data som svar på en forespørsel til den gamle WHOIS-tjenesten til .MOBI-domenesonen ble brukt til å utvikle flere typer angrep på forespørsler. Det første angrepet var basert på antakelsen om at hvis noen fortsetter å sende forespørsler til en tjeneste som lenge er erstattet, vil de sannsynligvis gjøre det ved å bruke utdatert verktøy som inneholder sårbarheter.
For eksempel, i phpWHOIS i 2015, ble CVE-2015-5243-sårbarheten identifisert, noe som gjør det mulig å kjøre angriperkode ved parsing av spesielt formaterte data returnert av WHOIS-serveren. Et annet eksempel er sårbarheten CVE-2021-2021 identifisert i 32749 i Fail2Ban-pakken, som gjør at ekstern kode kan kjøres når feil data returneres av WHOIS-tjenesten som brukes i prosessen med å generere en blokkeringsadvarsel (Fail2Ban bestemte vertsadministratorens e-post via WHOIS og spesifiserte det når du kjører kommandoposten uten riktig escape av spesialtegn).
Det andre angrepet er basert på det faktum at noen sertifiseringsmyndigheter gir muligheten til å bekrefte domeneeierskap gjennom en e-post spesifisert i domeneregistratordatabasen, tilgjengelig via WHOIS-protokollen. Det viste seg at flere sertifiseringsmyndigheter som støtter denne verifiseringsmetoden fortsetter å bruke den gamle WHOIS-serveren for «.MOBI»-domenesonen.
Dermed, etter å ha fått kontroll over navnet whois.dotmobiregistry.net, kan angripere hente dataene deres, utføre verifisering og få tak i TLS-sertifikat for ethvert domene i .MOBI-sonen." For eksempel, under eksperimentet ba forskerne om et TLS-sertifikat for microsoft.mobi-domenet fra GlobalSign-registratoren, og e-postadressen "whois@watchTowr.com" returnert av den fiktive WHOIS-tjenesten ble vist i grensesnittet som tilgjengelig for sending av en bekreftelseskode for domeneeierskap.
Kilde: opennet.ru
