Cercetătorii de la watchTowr Labs au publicat rezultatele unui experiment care implică capturarea unui serviciu WHOIS învechit de la un registrator de zonă de domeniu .MOBI. Motivul studiului a fost că registratorul a schimbat adresa serviciului WHOIS, mutând-o din domeniul whois.dotmobiregistry.net în noua gazdă whois.nic.mobi. În același timp, domeniul dotmobiregistry.net a încetat să fie utilizat și în decembrie 2023 a fost lansat și a devenit disponibil pentru înregistrare.
Cercetătorii au cheltuit 20 de dolari și au cumpărat acest domeniu, după care și-au lansat propriul serviciu WHOIS fictiv whois.dotmobiregistry.net pe serverul lor. Ceea ce a fost surprinzător a fost că multe sisteme nu au trecut la noua gazdă whois.nic.mobi și au continuat să folosească vechiul nume. În perioada 30 august - 4 septembrie anul acesta, au fost înregistrate 2.5 milioane de cereri pentru vechiul nume, trimise de la peste 135 de mii de sisteme unice.
Printre expeditorii cererilor s-au numărat și poștașii servere organizații guvernamentale și militare care au verificat domeniile care apăreau în e-mailuri prin intermediul WHOIS, companii de securitate și platforme de securitate (VirusTotal, Group-IB), precum și autorități de certificare, servicii de verificare a domeniilor, servicii SEO și registratori de domenii (de exemplu, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io și webchart.org).
Capacitatea de a trimite orice date ca răspuns la o solicitare către vechiul serviciu WHOIS al zonei de domeniu .MOBI a fost folosită pentru a dezvolta mai multe tipuri de atacuri asupra solicitanților. Primul atac s-a bazat pe presupunerea că, dacă cineva continuă să trimită cereri către un serviciu înlocuit de mult timp, atunci probabil că o va face folosind instrumente învechite care conțin vulnerabilități.
De exemplu, în phpWHOIS în 2015, a fost identificată vulnerabilitatea CVE-2015-5243, care permite executarea codului atacatorului la analizarea datelor special formatate returnate de serverul WHOIS. Un alt exemplu este vulnerabilitatea CVE-2021-2021 identificată în 32749 în pachetul Fail2Ban, care permite executarea unui cod extern atunci când datele incorecte sunt returnate de către serviciul WHOIS utilizat în procesul de generare a unui avertisment de blocare (Fail2Ban a determinat adresa de e-mail a administratorului gazdei). prin WHOIS și a specificat-o atunci când rulează e-mailul de comandă fără evadarea adecvată a caracterelor speciale).
Al doilea atac se bazează pe faptul că unele autorități de certificare oferă posibilitatea de a verifica proprietatea domeniului printr-un e-mail specificat în baza de date a registratorului de domenii, accesibil prin protocolul WHOIS. S-a dovedit că mai multe autorități de certificare care sprijină această metodă de verificare continuă să folosească vechiul server WHOIS pentru zona de domeniu „.MOBI”.
Astfel, după ce au obținut controlul asupra numelui whois.dotmobiregistry.net, atacatorii pot recupera datele acestora, pot efectua verificări și pot obține... Certificat TLS „pentru orice domeniu din zona .MOBI.” De exemplu, în timpul experimentului, cercetătorii au solicitat un certificat TLS pentru domeniul microsoft.mobi de la registratorul GlobalSign, iar e-mailul „whois@watchTowr.com” returnat de serviciul WHOIS fictiv a fost afișat în interfață ca fiind disponibil pentru trimiterea unui cod de verificare a proprietății domeniului.
Sursa: opennet.ru
