Naukowcy z watchTowr Labs opublikowali wyniki eksperymentu polegającego na przechwyceniu nieaktualnej usługi WHOIS od rejestratora strefowego domeny .MOBI. Powodem badania była zmiana przez rejestratora adresu usługi WHOIS, przenosząc go z domeny whois.dotmobiregistry.net na nowego hosta whois.nic.mobi. Jednocześnie przestała być używana domena dotmobiregistry.net, która w grudniu 2023 roku została zwolniona i udostępniona do rejestracji.
Badacze wydali 20 dolarów i kupili tę domenę, po czym uruchomili na swoim serwerze własną fikcyjną usługę WHOIS whois.dotmobiregistry.net. Zaskakujące było to, że wiele systemów nie przeszło na nowego hosta whois.nic.mobi i nadal używało starej nazwy. Od 30 sierpnia do 4 września br. odnotowano 2.5 mln żądań starej nazwy, wysłanych z ponad 135 tys. unikalnych systemów.
Wśród nadawców próśb byli pocztowcy serwery organizacje rządowe i wojskowe, które sprawdzały domeny pojawiające się w wiadomościach e-mail za pomocą WHOIS, firmy zajmujące się bezpieczeństwem i platformy bezpieczeństwa (VirusTotal, Group-IB), a także urzędy certyfikacji, usługi weryfikacji domen, usługi SEO i rejestratorzy domen (np. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io i webchart.org).
Możliwość przesłania dowolnych danych w odpowiedzi na żądanie do starej usługi WHOIS strefy domeny .MOBI została wykorzystana do opracowania kilku rodzajów ataków na requestery. Pierwszy atak opierał się na założeniu, że jeśli ktoś w dalszym ciągu wysyła żądania do usługi, którą od dawna wymieniano, to najprawdopodobniej robi to przy użyciu przestarzałego narzędzia zawierającego luki w zabezpieczeniach.
Przykładowo w phpWHOIS w 2015 roku zidentyfikowano lukę CVE-2015-5243, która pozwala na wykonanie kodu atakującego podczas analizowania specjalnie sformatowanych danych zwracanych przez serwer WHOIS. Innym przykładem jest zidentyfikowana w 2021 roku w pakiecie Fail2021Ban podatność CVE-32749-2, która umożliwia wykonanie zewnętrznego kodu w przypadku zwrócenia nieprawidłowych danych przez usługę WHOIS wykorzystywaną w procesie generowania ostrzeżenia o blokowaniu (Fail2Ban ustalił adres e-mail administratora hosta przez WHOIS i podałeś go podczas uruchamiania poczty poleceń bez prawidłowego ucieczki znaków specjalnych).
Drugi atak polega na tym, że niektóre urzędy certyfikacji umożliwiają weryfikację własności domeny poprzez adres e-mail podany w bazie rejestratorów domen, dostępnej poprzez protokół WHOIS. Okazało się, że kilka urzędów certyfikacji obsługujących tę metodę weryfikacji w dalszym ciągu korzysta ze starego serwera WHOIS dla strefy domeny „.MOBI”.
Dzięki temu, po uzyskaniu kontroli nad nazwą whois.dotmobiregistry.net, atakujący mogą odzyskać swoje dane, przeprowadzić weryfikację i uzyskać Certyfikat TLS dla dowolnej domeny w strefie .MOBI”. Przykładowo, podczas eksperymentu badacze zwrócili się do rejestratora GlobalSign z prośbą o certyfikat TLS dla domeny microsoft.mobi, a adres e-mail „whois@watchTowr.com” zwrócony przez fikcyjną usługę WHOIS został wyświetlony w interfejsie jako dostępny do wysłania kodu weryfikacyjnego własności domeny.
Źródło: opennet.ru
