واچ ٽاور ليبز جي محققن هڪ تجربي جا نتيجا شايع ڪيا آهن جيڪي .MOBI ڊومين رجسٽرار جي پراڻي WHOIS سروس کي اغوا ڪري رهيا هئا. اهو مطالعو رجسٽرار جي WHOIS ايڊريس جي تبديلي جي ڪري ڪيو ويو، ان کي whois.dotmobiregistry.net کان هڪ نئين هوسٽ، whois.nic.mobi ڏانهن منتقل ڪيو ويو. ساڳئي وقت، dotmobiregistry.net ڊومين کي ختم ڪيو ويو ۽ ڊسمبر 2023 ۾ جاري ڪيو ويو، ان کي رجسٽريشن لاءِ دستياب بڻايو ويو.
محققن 20 ڊالر خرچ ڪيا ۽ هي ڊومين خريد ڪيو، پوءِ پنهنجي سرور تي پنهنجي جعلي WHOIS سروس، whois.dotmobiregistry.net، لانچ ڪئي. حيرت انگيز طور تي، ڪيترائي سسٽم نئين هوسٽ، whois.nic.mobi ڏانهن نه ويا، پر پراڻو نالو استعمال ڪندا رهيا. هن سال 30 آگسٽ کان 4 سيپٽمبر تائين، پراڻي نالي لاءِ 2.5 ملين سوال رڪارڊ ڪيا ويا، جيڪي 135 کان وڌيڪ منفرد سسٽمن کان موڪليا ويا.
درخواستن جي موڪليندڙن ۾ پوسٽل هئا سرورز سرڪاري ۽ فوجي تنظيمون جيڪي WHOIS، سيڪيورٽي ڪمپنين ۽ سيڪيورٽي پليٽ فارمن (VirusTotal، Group-IB) ذريعي اي ميلن ۾ ظاهر ٿيندڙ ڊومينز جي جانچ ڪن ٿيون، انهي سان گڏ سرٽيفڪيشن اختيارين، ڊومين جي تصديق جون خدمتون، SEO خدمتون، ۽ ڊومين رجسٽرار (مثال طور، domain.com، godaddy.com، who.is، whois.ru، smallseo.tools، seocheki.net، centralops.net، name.com، urlscan.io، ۽ webchart.org).
".MOBI" ڊومين زون لاءِ پراڻي WHOIS سروس کي درخواست جي جواب ۾ ڪنهن به ڊيٽا موڪلڻ جي صلاحيت کي درخواست ڪندڙن خلاف ڪيترن ئي قسمن جي حملي کي ترقي ڪرڻ لاءِ استعمال ڪيو ويو. پهريون حملو ان مفروضي تي ٻڌل هو ته جيڪڏهن ڪو ماڻهو ڊگهي عرصي کان ختم ٿيل سروس جي درخواست جاري رکي ٿو، ته اهي ممڪن طور تي ڪمزورين تي مشتمل پراڻي اوزارن کي استعمال ڪندي ائين ڪري رهيا آهن.
مثال طور، 2015 ۾، phpWHOIS ۾ ڪمزوري CVE-2015-5243 دريافت ڪئي وئي، جيڪا WHOIS سرور پاران واپس ڪيل خاص طور تي تيار ڪيل ڊيٽا کي پارس ڪرڻ وقت حملي آور ڪوڊ جي عمل درآمد جي اجازت ڏئي ٿي. هڪ ٻي مثال ڪمزوري CVE-2021-32749 آهي، جيڪا 2021 ۾ Fail2Ban پيڪيج ۾ دريافت ڪئي وئي، جيڪا خارجي ڪوڊ جي عمل درآمد جي اجازت ڏئي ٿي جڏهن خراب ٿيل ڊيٽا WHOIS سروس پاران واپس ڪئي ويندي آهي جيڪا بلاڪنگ وارننگ پيدا ڪرڻ لاءِ استعمال ڪئي ويندي آهي (Fail2Ban WHOIS ذريعي هوسٽ ايڊمنسٽريٽر جي اي ميل ايڊريس جو تعين ڪيو ۽ ان کي بيان ڪيو جڏهن ميل ڪمانڊ هلائيندي خاص ڪردارن کان صحيح طور تي فرار ٿيڻ کان سواءِ).
ٻيو حملو ڪجهه CAs تي ڀاڙي ٿو جيڪي ڊومين رجسٽرار جي ڊيٽابيس ۾ درج ٿيل اي ميل ايڊريس ذريعي ڊومين جي ملڪيت جي تصديق ڪرڻ جي صلاحيت پيش ڪن ٿا، جيڪو WHOIS پروٽوڪول ذريعي رسائي لائق آهي. اهو ظاهر ٿئي ٿو ته هن تصديق جي طريقي جي حمايت ڪندڙ ڪيترائي CAs ".MOBI" ڊومين ايڪسٽينشن لاءِ پراڻي WHOIS سرور کي استعمال ڪرڻ جاري رکندا آهن.
اهڙيءَ طرح، whois.dotmobiregistry.net نالي تي ڪنٽرول حاصل ڪرڻ کان پوءِ، حملي آور پنهنجو ڊيٽا حاصل ڪري سگهن ٿا، تصديق ڪري سگهن ٿا، ۽ حاصل ڪري سگهن ٿا ٽي ايل ايس سرٽيفڪيٽ مثال طور، تجربي دوران، محققن گلوبل سائن رجسٽرار کان microsoft.mobi ڊومين لاءِ TLS سرٽيفڪيٽ جي درخواست ڪئي، ۽ جعلي WHOIS سروس پاران واپس ڪيل اي ميل "whois@watchTowr.com" انٽرفيس ۾ ڏيکاري وئي جيئن ڊومين جي ملڪيت جي تصديق ڪوڊ موڪلڻ لاءِ دستياب هجي.
جو ذريعو: opennet.ru
