Studiuesit nga watchTowr Labs kanë publikuar rezultatet e një eksperimenti që rrëmbeu shërbimin e trashëguar WHOIS të regjistruesit të domenit .MOBI. Studimi u nxit nga ndryshimi i adresës WHOIS nga regjistruesi, duke e zhvendosur atë nga whois.dotmobiregistry.net në një host të ri, whois.nic.mobi. Ndërkohë, domeni dotmobiregistry.net u çaktivizua dhe u publikua në dhjetor 2023, duke e bërë të disponueshëm për regjistrim.
Studiuesit shpenzuan 20 dollarë dhe blenë këtë domen, pastaj lançuan shërbimin e tyre të rremë WHOIS, whois.dotmobiregistry.net, në serverin e tyre. Çuditërisht, shumë sisteme nuk kaluan te hosti i ri, whois.nic.mobi, por vazhduan të përdorin emrin e vjetër. Nga 30 gushti deri më 4 shtator të këtij viti, u regjistruan 2.5 milionë kërkesa për emrin e vjetër, të dërguara nga më shumë se 135 sisteme unike.
Ndër dërguesit e kërkesave ishin edhe ata postarë. serverat organizatat qeveritare dhe ushtarake që kontrollonin domenet që shfaqeshin në email-e nëpërmjet WHOIS, kompanitë e sigurisë dhe platformat e sigurisë (VirusTotal, Group-IB), si dhe autoritetet e certifikimit, shërbimet e verifikimit të domeneve, shërbimet SEO dhe regjistruesit e domeneve (p.sh., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io dhe webchart.org).
Mundësia për të dërguar të dhëna në përgjigje të një kërkese drejtuar shërbimit të vjetër WHOIS për zonën e domenit ".MOBI" u shfrytëzua për të zhvilluar disa lloje sulmesh kundër kërkuesve. Sulmi i parë u bazua në supozimin se nëse dikush vazhdon të kërkojë shërbimin e vdekur prej kohësh, ka të ngjarë që ta bëjë këtë duke përdorur mjete të vjetruara që përmbajnë dobësi.
Për shembull, në vitin 2015, në phpWHOIS u zbulua dobësia CVE-2015-5243, duke lejuar ekzekutimin e kodit të sulmuesit gjatë analizimit të të dhënave të krijuara posaçërisht të kthyera nga serveri WHOIS. Një shembull tjetër është dobësia CVE-2021-32749, e zbuluar në vitin 2021 në paketën Fail2Ban, e cila lejon ekzekutimin e kodit të jashtëm kur të dhënat e keqformuara kthehen nga shërbimi WHOIS i përdorur për të gjeneruar një paralajmërim bllokimi (Fail2Ban përcaktoi adresën e emailit të administratorit të hostit përmes WHOIS dhe e specifikoi atë kur ekzekutoi komandën e postës pa ecur siç duhet karakteret speciale).
Sulmi i dytë mbështetet në disa CA që ofrojnë mundësinë për të verifikuar pronësinë e domenit nëpërmjet një adrese email-i të listuar në bazën e të dhënave të regjistruesit të domenit, e aksesueshme nëpërmjet protokollit WHOIS. Rezulton se disa CA që mbështesin këtë metodë verifikimi vazhdojnë të përdorin serverin e vjetër WHOIS për zgjerimin e domenit ".MOBI".
Kështu, pasi kanë fituar kontroll mbi emrin whois.dotmobiregistry.net, sulmuesit mund të marrin të dhënat e tyre, të kryejnë verifikim dhe të marrin Certifikatë TLS për çdo domen në zonën .MOBI." Për shembull, gjatë eksperimentit, studiuesit kërkuan një certifikatë TLS për domenin microsoft.mobi nga regjistruesi GlobalSign, dhe emaili "whois@watchTowr.com" i kthyer nga shërbimi fiktiv WHOIS u shfaq në ndërfaqe si i disponueshëm për dërgimin e një kodi verifikimi të pronësisë së domenit.
Burimi: opennet.ru
