د watchTowr Labs څېړونکو د یوې تجربې پایلې خپرې کړې چې د .MOBI ډومین راجستر کونکي د میراثي WHOIS خدمت د هک کولو لپاره کارول شوی و. دا څیړنه د راجستر کونکي لخوا د WHOIS پتې د بدلون له امله رامینځته شوه، چې دا یې د whois.dotmobiregistry.net څخه نوي کوربه، whois.nic.mobi ته لیږدول. په ورته وخت کې، د dotmobiregistry.net ډومین د 2023 کال په دسمبر کې لغوه او خپور شو، چې دا یې د راجسټریشن لپاره شتون درلود.
څېړونکو ۲۰ ډالر ولګول او دا ډومین یې واخیست، بیا یې په خپل سرور کې د WHOIS جعلي خدمت، whois.dotmobiregistry.net، پیل کړ. په حیرانتیا سره، ډیری سیسټمونه نوي کوربه، whois.nic.mobi ته نه دي تللي، مګر د زاړه نوم کارولو ته یې دوام ورکړی. د روان کال د اګست له ۳۰ څخه تر سپتمبر ۴ پورې، د زاړه نوم لپاره ۲.۵ ملیون پوښتنې ثبت شوې، چې له ۱۳۵،۰۰۰ څخه زیاتو ځانګړو سیسټمونو څخه لیږل شوي دي.
د غوښتنو لیږونکو کې پوستي وو سرورونه هغه دولتي او پوځي سازمانونه چې د WHOIS، امنیتي شرکتونو او امنیتي پلیټ فارمونو (VirusTotal، Group-IB) له لارې په بریښنالیکونو کې څرګندیدونکي ډومینونه چیک کوي، او همدارنګه د تصدیق چارواکو، د ډومین تصدیق خدماتو، SEO خدماتو، او د ډومین راجستر کونکو (د مثال په توګه، domain.com، godaddy.com، who.is، whois.ru، smallseo.tools، seocheki.net، centralops.net، name.com، urlscan.io، او webchart.org).
د ".MOBI" ډومین زون لپاره د زاړه WHOIS خدمت ته د غوښتنې په ځواب کې د هر ډول معلوماتو لیږلو وړتیا د غوښتونکو په وړاندې د څو ډوله بریدونو رامینځته کولو لپاره کارول شوې وه. لومړی برید د دې انګیرنې پراساس و چې که څوک د اوږدې مودې خدمت غوښتنه کولو ته دوام ورکړي، نو دوی احتمال لري چې دا کار د زړو وسیلو په کارولو سره وکړي چې زیان منونکي لري.
د مثال په توګه، په ۲۰۱۵ کال کې، په phpWHOIS کې د CVE-2015-5243 زیان منونکی کشف شو، چې د برید کونکي کوډ اجرا کولو ته اجازه ورکوي کله چې د WHOIS سرور لخوا بیرته راستانه شوي ځانګړي جوړ شوي ډیټا پارس کوي. بله بیلګه یې د CVE-2021-32749 زیان منونکی دی، چې په ۲۰۲۱ کال کې په Fail2Ban پیکج کې کشف شو، کوم چې د بهرني کوډ اجرا کولو ته اجازه ورکوي کله چې خراب شوي ډیټا د WHOIS خدمت لخوا بیرته راستانه شي چې د بلاک کولو خبرداری رامینځته کولو لپاره کارول کیږي (Fail2Ban د کوربه مدیر بریښنالیک پته د WHOIS له لارې ټاکلې او دا یې مشخص کړې کله چې د میل کمانډ چلول پرته له دې چې ځانګړي حروف په سمه توګه وتښتي).
دوهم برید په ځینو CAs تکیه کوي چې د ډومین راجستر کونکي ډیټابیس کې لیست شوي بریښنالیک پتې له لارې د ډومین ملکیت تصدیق کولو وړتیا وړاندې کوي، چې د WHOIS پروتوکول له لارې لاسرسی کیدی شي. دا معلومه شوه چې ډیری CAs چې د دې تایید میتود ملاتړ کوي د ".MOBI" ډومین توسیع لپاره د زاړه WHOIS سرور کارولو ته دوام ورکوي.
په دې توګه، د whois.dotmobiregistry.net نوم کنټرول ترلاسه کولو سره، برید کونکي کولی شي خپل معلومات بیرته ترلاسه کړي، تایید ترسره کړي، او ترلاسه کړي د TLS سند د .MOBI زون کې د هر ډومین لپاره." د مثال په توګه، د تجربې په جریان کې، څیړونکو د GlobalSign راجستر کونکي څخه د microsoft.mobi ډومین لپاره د TLS سند غوښتنه وکړه، او د جعلي WHOIS خدمت لخوا بیرته راستانه شوی بریښنالیک "whois@watchTowr.com" په انٹرفیس کې د ډومین ملکیت تصدیق کوډ لیږلو لپاره شتون درلود.
سرچینه: opennet.ru
