Raziskovalci iz watchTowr Labs so objavili rezultate poskusa ugrabitve stare storitve WHOIS registrarja domen .MOBI. Študijo je spodbudila sprememba naslova WHOIS s strani registrarja, ki ga je premaknil z whois.dotmobiregistry.net na novega gostitelja, whois.nic.mobi. Medtem je bila domena dotmobiregistry.net umaknjena iz uporabe in sproščena decembra 2023, s čimer je postala na voljo za registracijo.
Raziskovalci so za 20 dolarjev kupili to domeno, nato pa na svojem strežniku zagnali lastno lažno storitev WHOIS, whois.dotmobiregistry.net. Presenetljivo je, da mnogi sistemi niso prešli na novega gostitelja, whois.nic.mobi, ampak so še naprej uporabljali staro ime. Od 30. avgusta do 4. septembra letos je bilo zabeleženih 2.5 milijona poizvedb za staro ime, poslanih iz več kot 135 edinstvenih sistemov.
Med pošiljatelji zahtev so bili tudi poštni strežniki vladne in vojaške organizacije, ki so preverjale domene, ki se pojavljajo v e-poštnih sporočilih, prek WHOIS, varnostna podjetja in varnostne platforme (VirusTotal, Group-IB), pa tudi certifikacijski organi, storitve preverjanja domen, storitve SEO in registrarji domen (npr. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io in webchart.org).
Možnost pošiljanja poljubnih podatkov kot odgovor na zahtevo stari storitvi WHOIS za domensko cono ».MOBI« je bila izkoriščena za razvoj več vrst napadov na zahtevalce. Prvi napad je temeljil na predpostavki, da če nekdo še naprej zahteva že dolgo nedelujočo storitev, to verjetno počne z zastarelimi orodji, ki vsebujejo ranljivosti.
Na primer, leta 2015 je bila v phpWHOIS odkrita ranljivost CVE-2015-5243, ki je omogočala izvajanje kode napadalca pri razčlenjevanju posebej oblikovanih podatkov, ki jih je vrnil strežnik WHOIS. Drug primer je ranljivost CVE-2021-32749, odkrita leta 2021 v paketu Fail2Ban, ki omogoča izvajanje zunanje kode, ko storitev WHOIS, uporabljena za ustvarjanje opozorila o blokiranju, vrne popačene podatke (Fail2Ban je prek WHOIS določil e-poštni naslov skrbnika gostitelja in ga določil pri izvajanju ukaza mail brez pravilnega ubežanja posebnih znakov).
Drugi napad se opira na nekatere overitelje, ki ponujajo možnost preverjanja lastništva domene prek e-poštnega naslova, navedenega v bazi podatkov registrarja domen, do katerega je mogoče dostopati prek protokola WHOIS. Izkazalo se je, da več overiteljev, ki podpirajo to metodo preverjanja, še naprej uporablja stari strežnik WHOIS za končnico domene ».MOBI«.
Ko napadalci pridobijo nadzor nad imenom whois.dotmobiregistry.net, lahko pridobijo njihove podatke, izvedejo preverjanje in pridobijo TLS-potrdilo za katero koli domeno v coni .MOBI." Na primer, med poskusom so raziskovalci od registrarja GlobalSign zahtevali potrdilo TLS za domeno microsoft.mobi, e-poštni naslov "whois@watchTowr.com", ki ga je vrnila fiktivna storitev WHOIS, pa je bil v vmesniku prikazan kot na voljo za pošiljanje potrditvene kode za lastništvo domene.
Vir: opennet.ru
