Истраживачи из ватцхТовр Лабс-а објавили су резултате експеримента који укључује хватање застареле ВХОИС услуге од регистратора зоне домена .МОБИ. Разлог за истраживање је био тај што је регистратор променио адресу ВХОИС услуге, преместивши је са домена вхоис.дотмобирегистри.нет на нови хост вхоис.ниц.моби. Истовремено, домен дотмобирегистри.нет је престао да се користи и у децембру 2023. је пуштен и постао доступан за регистрацију.
Истраживачи су потрошили 20 долара и купили овај домен, након чега су на свом серверу покренули сопствени фиктивни ВХОИС сервис вхоис.дотмобирегистри.нет. Оно што је било изненађујуће је да многи системи нису прешли на нови хост вхоис.ниц.моби и наставили су да користе стари назив. Од 30. августа до 4. септембра ове године забележено је 2.5 милиона захтева за стари назив, послатих са више од 135 хиљада јединствених система.
Међу пошиљаоцима захтева били су и поштански сервери владине и војне организације које су проверавале домене који се појављују у имејловима путем WHOIS-а, безбедносне компаније и безбедносне платформе (VirusTotal, Group-IB), као и сертификациона тела, сервиси за верификацију домена, SEO сервиси и регистратори домена (нпр. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io и webchart.org).
Могућност слања било каквих података као одговор на захтев старом ВХОИС сервису .МОБИ доменске зоне коришћена је за развој неколико врста напада на подносиоце захтева. Први напад је био заснован на претпоставци да ако неко настави да шаље захтеве дуго замењеној услузи, онда ће то вероватно чинити користећи застареле алате који садрже рањивости.
На пример, у пхпВХОИС-у 2015. године идентификована је рањивост ЦВЕ-2015-5243, која омогућава извршавање кода нападача приликом рашчлањивања посебно форматираних података које враћа ВХОИС сервер. Други пример је рањивост ЦВЕ-2021-2021 идентификована 32749. године у пакету Фаил2Бан, која омогућава извршавање спољног кода када ВХОИС сервис врати нетачне податке који се користи у процесу генерисања упозорења о блокирању (Фаил2Бан је одредио адресу е-поште администратора хоста преко ВХОИС-а и навео га приликом покретања командне поште без правилног избегавања специјалних знакова).
Други напад је заснован на чињеници да неки ауторитети за сертификацију пружају могућност провере власништва над доменом путем е-поште која је наведена у бази података регистрара домена, којој се приступа преко ВХОИС протокола. Испоставило се да неколико ауторитета за сертификацију који подржавају овај метод верификације настављају да користе стари ВХОИС сервер за „.МОБИ“ доменску зону.
Дакле, након што су стекли контролу над именом whois.dotmobiregistry.net, нападачи могу да преузму њихове податке, изврше верификацију и добију TLS сертификат за било који домен у .MOBI зони.“ На пример, током експеримента, истраживачи су затражили TLS сертификат за домен microsoft.mobi од регистрара GlobalSign-а, а имејл адреса „whois@watchTowr.com“ коју је вратио фиктивни WHOIS сервис приказана је у интерфејсу као доступна за слање кода за верификацију власништва над доменом.
Извор: опеннет.ру
