Forskare från watchTowr Labs har publicerat resultaten av ett experiment som involverade fångst av en föråldrad WHOIS-tjänst från en .MOBI-domänzonsregistrator. Anledningen till studien var att registratorn ändrade WHOIS-tjänstens adress och flyttade den från domänen whois.dotmobiregistry.net till den nya värden whois.nic.mobi. Samtidigt upphörde dotmobiregistry.net-domänen att användas och i december 2023 släpptes den och blev tillgänglig för registrering.
Forskarna spenderade $20 och köpte denna domän, varefter de lanserade sin egen fiktiva WHOIS-tjänst whois.dotmobiregistry.net på sin server. Det som var förvånande var att många system inte bytte till den nya värden whois.nic.mobi och fortsatte att använda det gamla namnet. Från 30 augusti till 4 september i år registrerades 2.5 miljoner förfrågningar om det gamla namnet, skickade från mer än 135 tusen unika system.
Bland avsändarna av förfrågningar fanns post servrar statliga och militära organisationer som kontrollerade domänerna som förekom i e-postmeddelanden via WHOIS, säkerhetsföretag och säkerhetsplattformar (VirusTotal, Group-IB), samt certifieringsmyndigheter, domänverifieringstjänster, SEO-tjänster och domänregistratorer (t.ex. domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io och webchart.org).
Möjligheten att skicka vilken data som helst som svar på en förfrågan till den gamla WHOIS-tjänsten i .MOBI-domänzonen användes för att utveckla flera typer av attacker mot förfrågare. Den första attacken baserades på antagandet att om någon fortsätter att skicka förfrågningar till en tjänst som sedan länge ersatts, så gör de sannolikt det med föråldrade verktyg som innehåller sårbarheter.
Till exempel, i phpWHOIS 2015, identifierades CVE-2015-5243-sårbarheten, vilket gör att angriparkod kan exekveras när man analyserar speciellt formaterad data som returneras av WHOIS-servern. Ett annat exempel är sårbarheten CVE-2021-2021 som identifierades 32749 i Fail2Ban-paketet, som tillåter extern kod att exekveras när felaktig data returneras av WHOIS-tjänsten som används i processen att generera en blockeringsvarning (Fail2Ban fastställde värdadministratörens e-postmeddelande via WHOIS och angav det när kommandomeddelandet kördes utan korrekt escape av specialtecken).
Den andra attacken är baserad på det faktum att vissa certifieringsmyndigheter ger möjlighet att verifiera domänägande via ett e-postmeddelande som anges i domänregistratordatabasen, tillgängligt via WHOIS-protokollet. Det visade sig att flera certifieringsmyndigheter som stöder denna verifieringsmetod fortsätter att använda den gamla WHOIS-servern för ".MOBI"-domänzonen.
Efter att ha fått kontroll över namnet whois.dotmobiregistry.net kan angripare således hämta deras data, utföra verifiering och erhålla TLS-certifikat för vilken domän som helst i .MOBI-zonen." Till exempel, under experimentet begärde forskarna ett TLS-certifikat för microsoft.mobi-domänen från GlobalSign-registratorn, och e-postadressen "whois@watchTowr.com" som returnerades av den fiktiva WHOIS-tjänsten visades i gränssnittet som tillgänglig för att skicka en verifieringskod för domänägande.
Källa: opennet.ru
