Pesquisadores do watchTowr Labs publicaram os resultados de um experimento que utilizou o serviço WHOIS legado do registrador de domínios .MOBI. O estudo foi motivado pela mudança de endereço WHOIS do registrador, que passou de whois.dotmobiregistry.net para um novo host, whois.nic.mobi. Enquanto isso, o domínio dotmobiregistry.net foi desativado e liberado em dezembro de 2023, tornando-se disponível para registro.
Os pesquisadores gastaram US$ 20 e compraram esse domínio, lançando em seguida seu próprio serviço WHOIS falso, whois.dotmobiregistry.net, em seu servidor. Surpreendentemente, muitos sistemas não migraram para o novo host, whois.nic.mobi, mas continuaram usando o nome antigo. De 30 de agosto a 4 de setembro deste ano, foram registradas 2.5 milhões de consultas para o nome antigo, enviadas por mais de 135 sistemas diferentes.
Entre os remetentes de solicitações estavam os correios servidores Organizações governamentais e militares que verificaram os domínios que aparecem nos e-mails via WHOIS, empresas e plataformas de segurança (VirusTotal, Group-IB), bem como autoridades de certificação, serviços de verificação de domínio, serviços de SEO e registradores de domínio (por exemplo, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io e webchart.org).
A possibilidade de enviar quaisquer dados em resposta a uma solicitação ao antigo serviço WHOIS para a zona de domínio ".MOBI" foi explorada para desenvolver diversos tipos de ataques contra os solicitantes. O primeiro ataque baseava-se na premissa de que, se alguém continuasse a solicitar o serviço há muito desativado, provavelmente o estaria fazendo utilizando ferramentas obsoletas que continham vulnerabilidades.
Por exemplo, em 2015, foi descoberta a vulnerabilidade CVE-2015-5243 no phpWHOIS, que permitia a execução de código malicioso ao analisar dados especialmente criados retornados pelo servidor WHOIS. Outro exemplo é a vulnerabilidade CVE-2021-32749, descoberta em 2021 no pacote Fail2Ban, que permite a execução de código externo quando dados malformados são retornados pelo serviço WHOIS usado para gerar um aviso de bloqueio (o Fail2Ban determinou o endereço de e-mail do administrador do host por meio do WHOIS e o especificou ao executar o comando de e-mail sem escapar adequadamente os caracteres especiais).
O segundo ataque se baseia no fato de algumas Autoridades Certificadoras (ACs) oferecerem a possibilidade de verificar a propriedade de um domínio por meio de um endereço de e-mail listado no banco de dados do registrador de domínio, acessível pelo protocolo WHOIS. Acontece que diversas ACs que suportam esse método de verificação continuam usando o servidor WHOIS antigo para a extensão de domínio ".MOBI".
Assim, tendo obtido controle sobre o nome whois.dotmobiregistry.net, os atacantes podem recuperar seus dados, realizar verificações e obter acesso. certificado TLS para qualquer domínio na zona .MOBI." Por exemplo, durante o experimento, os pesquisadores solicitaram um certificado TLS para o domínio microsoft.mobi do registrador GlobalSign, e o e-mail "whois@watchTowr.com" retornado pelo serviço fictício WHOIS foi exibido na interface como disponível para o envio de um código de verificação de propriedade do domínio.
Fonte: opennet.ru
