Peneliti ti watchTowr Labs geus diterbitkeun hasil percobaan ngalibetkeun newak hiji layanan WHOIS luntur ti .MOBI domain registrar zone. Alesan pikeun ulikan éta yén registrar robah alamat layanan WHOIS, mindahkeun tina domain whois.dotmobiregistry.net ka host anyar whois.nic.mobi. Dina waktos anu sami, domain dotmobiregistry.net teu dianggo sareng dina bulan Désémber 2023 dileupaskeun sareng sayogi kanggo pendaptaran.
Panaliti nyéépkeun $ 20 sareng mésér domain ieu, saatos aranjeunna ngaluncurkeun jasa WHOIS fiktif sorangan whois.dotmobiregistry.net dina server na. Naon héran éta loba sistem teu pindah ka whois.nic.mobi host anyar jeung terus ngagunakeun ngaran heubeul. Ti 30 Agustus nepi ka 4 Séptémber taun ieu, 2.5 juta requests pikeun ngaran heubeul kacatet, dikirim ti leuwih ti 135 sarébu sistem unik.
Di antara anu ngirim pamundut nyaéta pos server organisasi pamaréntah sareng militer anu mariksa domain anu muncul dina email ngalangkungan WHOIS, perusahaan kaamanan sareng platform kaamanan (VirusTotal, Group-IB), ogé otoritas sertifikasi, jasa verifikasi domain, jasa SEO, sareng registrar domain (contona, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, sareng webchart.org).
Kamampuhan pikeun ngirim data wae di respon kana pamundut ka layanan WHOIS heubeul tina zona domain .MOBI ieu dipaké pikeun ngembangkeun sababaraha jenis serangan on requesters. Serangan anu munggaran didasarkeun kana anggapan yén upami aya anu teras-terasan ngintunkeun pamenta ka jasa anu parantos lami-lami diganti, maka aranjeunna kamungkinan ngalakukeunana ngagunakeun alat-alat kuno anu ngandung kerentanan.
Salaku conto, dina phpWHOIS di 2015, kerentanan CVE-2015-5243 diidentifikasi, anu ngamungkinkeun kode panyerang dieksekusi nalika nga-parsing data anu diformat khusus anu dipulangkeun ku server WHOIS. Conto sanésna nyaéta kerentanan CVE-2021-2021 anu diidentifikasi dina 32749 dina pakét Fail2Ban, anu ngamungkinkeun kode éksternal dieksekusi nalika data anu salah dipulangkeun ku ladenan WHOIS anu dianggo dina prosés ngahasilkeun peringatan blocking (Fail2Ban nangtukeun email administrator host. via WHOIS sarta nangtukeun eta nalika ngajalankeun mail paréntah tanpa escaping ditangtoskeun tina karakter husus).
Serangan kadua dumasar kana kanyataan yén sababaraha otoritas sertifikasi nyadiakeun kamampuhan pikeun pariksa kapamilikan domain ngaliwatan hiji email dieusian dina database registrar domain, diaksés via protokol WHOIS. Tétéla yén sababaraha otoritas sertifikasi anu ngarojong metoda verifikasi ieu terus ngagunakeun server WHOIS heubeul pikeun zona domain ".MOBI".
Ku kituna, saatos ngawasaan nami whois.dotmobiregistry.net, panyerang tiasa ngarékam datana, ngalaksanakeun verifikasi, sareng kéngingkeun Sertipikat TLS pikeun domain naon waé dina zona .MOBI." Contona, salami ékspérimén, para panalungtik nyuhunkeun sertipikat TLS pikeun domain microsoft.mobi ti registrar GlobalSign, sareng email "whois@watchTowr.com" anu dipulangkeun ku layanan WHOIS fiktif ditampilkeun dina antarmuka salaku sayogi pikeun ngirim kode verifikasi kapamilikan domain.
sumber: opennet.ru
