watchTowr Labs හි පර්යේෂකයන් විසින් .MOBI වසම් කලාප රෙජිස්ට්රාර්වරයෙකුගෙන් යල් පැන ගිය WHOIS සේවාවක් ග්රහණය කර ගැනීම සම්බන්ධ පරීක්ෂණයක ප්රතිඵල ප්රකාශයට පත් කර ඇත. අධ්යයනයට හේතුව වූයේ රෙජිස්ට්රාර් විසින් WHOIS සේවා ලිපිනය වෙනස් කර, එය whois.dotmobiregistry.net වසමෙන් නව සත්කාරක whois.nic.mobi වෙත ගෙන යාමයි. ඒ සමගම, dotmobiregistry.net වසම භාවිතා කිරීම නතර වූ අතර 2023 දෙසැම්බර් මාසයේදී එය නිකුත් කර ලියාපදිංචිය සඳහා ලබා ගත හැකි විය.
පර්යේෂකයන් ඩොලර් 20 ක් වියදම් කර මෙම වසම මිලදී ගත් අතර, පසුව ඔවුන් ඔවුන්ගේම කල්පිත WHOIS සේවාව whois.dotmobiregistry.net ඔවුන්ගේ සේවාදායකයේ දියත් කළහ. පුදුමයට කරුණ නම්, බොහෝ පද්ධති නව සත්කාරක whois.nic.mobi වෙත මාරු නොවී පැරණි නම දිගටම භාවිතා කිරීමයි. මේ වසරේ අගෝස්තු 30 සිට සැප්තැම්බර් 4 දක්වා පැරණි නම සඳහා ඉල්ලීම් මිලියන 2.5 ක් වාර්තා කර ඇති අතර එය අද්විතීය පද්ධති 135 දහසකට වඩා යවා ඇත.
ඉල්ලීම් යැවූ අය අතර තැපැල් සේවාදායක WHOIS, ආරක්ෂක සමාගම් සහ ආරක්ෂක වේදිකා (VirusTotal, Group-IB) හරහා විද්යුත් තැපෑලෙහි දිස්වන වසම් පරීක්ෂා කළ රජයේ සහ හමුදා සංවිධාන, මෙන්ම සහතික කිරීමේ බලධාරීන්, වසම් සත්යාපන සේවා, SEO සේවා සහ වසම් රෙජිස්ට්රාර්වරුන් (උදා: domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, සහ webchart.org).
.MOBI වසම් කලාපයේ පැරණි WHOIS සේවාව වෙත ඉල්ලීමකට ප්රතිචාර වශයෙන් ඕනෑම දත්තයක් යැවීමේ හැකියාව ඉල්ලන්නන්ට ප්රහාර වර්ග කිහිපයක් වර්ධනය කිරීමට භාවිතා කරන ලදී. පළමු ප්රහාරය පදනම් වූයේ යමෙකු දිගුකාලීන ප්රතිස්ථාපන සේවාවක් වෙත ඉල්ලීම් යැවීම දිගටම කරගෙන යන්නේ නම්, ඔවුන් එසේ කරන්නේ දුර්වලතා සහිත යල්පැන ගිය මෙවලම් භාවිතයෙන් විය හැකි යැයි උපකල්පනය කිරීම මතය.
උදාහරණයක් ලෙස, 2015 දී, phpWHOIS හි අවදානම CVE-2015-5243 හඳුනා ගන්නා ලදී, එය WHOIS සේවාදායකය විසින් ආපසු ලබා දුන් විශේෂයෙන් ආකෘතිගත දත්ත විග්රහ කිරීමේදී ප්රහාරකයාගේ කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි. තවත් උදාහරණයක් නම්, 2021 දී Fail2021Ban පැකේජයේ හඳුනාගෙන ඇති අවදානම් CVE-32749-2, අවහිර කිරීමේ අනතුරු ඇඟවීමක් ජනනය කිරීමේ ක්රියාවලියේදී භාවිතා කරන WHOIS සේවාව මඟින් වැරදි දත්ත ආපසු ලබා දෙන විට බාහිර කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි (Fail2Ban සත්කාරක පරිපාලකගේ විද්යුත් තැපෑල තීරණය කළේය. WHOIS හරහා සහ විශේෂ අක්ෂර වලින් නිසි ලෙස ගැලවී යාමකින් තොරව විධාන තැපැල් ධාවනය කරන විට එය නියම කර ඇත).
දෙවන ප්රහාරය පදනම් වී ඇත්තේ WHOIS ප්රොටෝකෝලය හරහා ප්රවේශ විය හැකි, වසම් රෙජිස්ට්රාර් දත්ත ගබඩාවේ නිශ්චිතව දක්වා ඇති විද්යුත් තැපෑලක් හරහා වසම් හිමිකාරිත්වය සත්යාපනය කිරීමට සමහර සහතික කිරීමේ බලධාරීන් හැකියාව ලබා දීමයි. මෙම සත්යාපන ක්රමයට සහය දක්වන සහතික කිරීමේ අධිකාරීන් කිහිපයක් “.MOBI” වසම් කලාපය සඳහා පැරණි WHOIS සේවාදායකය දිගටම භාවිතා කරන බව පෙනී ගියේය.
මේ අනුව, whois.dotmobiregistry.net නාමය පාලනය කර ගැනීමෙන්, ප්රහාරකයින්ට ඔවුන්ගේ දත්ත ලබා ගැනීමට, සත්යාපනය කිරීමට සහ ලබා ගැනීමට හැකිය TLS සහතිකය .MOBI කලාපයේ ඕනෑම වසමක් සඳහා." උදාහරණයක් ලෙස, අත්හදා බැලීම අතරතුර, පර්යේෂකයන් GlobalSign රෙජිස්ට්රාර්ගෙන් microsoft.mobi වසම සඳහා TLS සහතිකයක් ඉල්ලා සිටි අතර, කල්පිත WHOIS සේවාව විසින් ආපසු ලබා දුන් "whois@watchTowr.com" විද්යුත් තැපෑල වසම් හිමිකාරිත්ව සත්යාපන කේතයක් යැවීම සඳහා ලබා ගත හැකි අතුරු මුහුණතෙහි ප්රදර්ශනය කරන ලදී.
මූලාශ්රය: opennet.ru
