Výskumníci z laboratórií watchTowr Labs zverejnili výsledky experimentu, ktorý zneužil staršiu službu WHOIS registrátora domény .MOBI. Štúdiu podnietila zmena adresy WHOIS registrátora, keď ju presunul z whois.dotmobiregistry.net na nového hostiteľa whois.nic.mobi. Medzitým bola doména dotmobiregistry.net vyradená z prevádzky a uvoľnená v decembri 2023, čím sa sprístupnila na registráciu.
Výskumníci minuli 20 dolárov a kúpili túto doménu, potom na svojom serveri spustili vlastnú falošnú službu WHOIS s názvom whois.dotmobiregistry.net. Prekvapivo, mnohé systémy neprešli na nového hostiteľa whois.nic.mobi, ale naďalej používali starý názov. Od 30. augusta do 4. septembra tohto roku bolo zaznamenaných 2.5 milióna dopytov na starý názov, odoslaných z viac ako 135 000 unikátnych systémov.
Medzi odosielateľmi žiadostí boli aj poštoví servery vládne a vojenské organizácie, ktoré kontrolovali domény objavujúce sa v e-mailoch prostredníctvom WHOIS, bezpečnostné spoločnosti a bezpečnostné platformy (VirusTotal, Group-IB), ako aj certifikačné autority, služby overovania domén, SEO služby a registrátori domén (napr. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io a webchart.org).
Možnosť odoslať akékoľvek údaje v odpovedi na požiadavku do starej služby WHOIS pre doménovú zónu „.MOBI“ bola zneužitá na vývoj niekoľkých typov útokov proti žiadateľom. Prvý útok bol založený na predpoklade, že ak niekto naďalej požaduje dávno nefunkčnú službu, pravdepodobne tak robí pomocou zastaraných nástrojov obsahujúcich zraniteľnosti.
Napríklad v roku 2015 bola v balíku phpWHOIS objavená zraniteľnosť CVE-2015-5243, ktorá umožňovala spustenie kódu útočníka pri analýze špeciálne vytvorených údajov vrátených serverom WHOIS. Ďalším príkladom je zraniteľnosť CVE-2021-32749, objavená v roku 2021 v balíku Fail2Ban, ktorá umožňuje spustenie externého kódu, keď služba WHOIS použitá na generovanie blokovacieho varovania vráti chybné údaje (Fail2Ban určil e-mailovú adresu správcu hostiteľa prostredníctvom WHOIS a zadal ju pri spustení príkazu mail bez správneho escapovania špeciálnych znakov).
Druhý útok sa spolieha na niektoré certifikačné autority, ktoré ponúkajú možnosť overiť vlastníctvo domény prostredníctvom e-mailovej adresy uvedenej v databáze registrátora domén, ktorá je prístupná prostredníctvom protokolu WHOIS. Ukazuje sa, že niekoľko certifikačných autorít podporujúcich túto metódu overovania naďalej používa starý server WHOIS pre doménovú príponu „.MOBI“.
Útočníci tak po získaní kontroly nad menom whois.dotmobiregistry.net môžu získať ich údaje, vykonať overenie a získať TLS certifikát pre akúkoľvek doménu v zóne .MOBI.“ Napríklad počas experimentu si výskumníci vyžiadali od registrátora GlobalSign certifikát TLS pre doménu microsoft.mobi a e-mail „whois@watchTowr.com“ vrátený fiktívnou službou WHOIS sa v rozhraní zobrazil ako dostupný na odoslanie overovacieho kódu vlastníctva domény.
Zdroj: opennet.ru
