Watafiti kutoka kwa watchTowr Labs wamechapisha matokeo ya jaribio la kuiba huduma ya zamani ya WHOIS ya msajili wa kikoa cha .MOBI. Utafiti huo ulichochewa na mabadiliko ya msajili wa anwani ya WHOIS, na kuihamisha kutoka whois.dotmobirigistry.net hadi mwenyeji mpya, whois.nic.mobi. Wakati huo huo, kikoa cha dotmobirigistry.net kilifutwa kazi na kutolewa Desemba 2023, na kuifanya ipatikane kwa usajili.
Watafiti walitumia $20 na kununua kikoa hiki, kisha wakazindua huduma yao bandia ya WHOIS, whois.dotmobirigistry.net, kwenye seva yao. Cha kushangaza, mifumo mingi haikubadilisha hadi seva mpya, whois.nic.mobi, lakini iliendelea kutumia jina la zamani. Kuanzia Agosti 30 hadi Septemba 4 mwaka huu, maswali milioni 2.5 ya jina la zamani yalirekodiwa, yakitumwa kutoka kwa mifumo zaidi ya 135 ya kipekee.
Miongoni mwa waliotuma maombi walikuwa ni posta seva mashirika ya serikali na kijeshi yaliyokagua vikoa vinavyoonekana katika barua pepe kupitia WHOIS, kampuni za usalama na mifumo ya usalama (VirusTotal, Group-IB), pamoja na mamlaka ya uthibitishaji, huduma za uthibitishaji wa vikoa, huduma za SEO, na wasajili wa vikoa (k.m., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, na webchart.org).
Uwezo wa kutuma data yoyote kujibu ombi kwa huduma ya zamani ya WHOIS kwa eneo la kikoa la ".MOBI" ulitumika kutengeneza aina kadhaa za mashambulizi dhidi ya waombaji. Shambulio la kwanza lilitokana na dhana kwamba ikiwa mtu ataendelea kuomba huduma hiyo ambayo haikuwapo kwa muda mrefu, kuna uwezekano anafanya hivyo kwa kutumia zana zilizopitwa na wakati zenye udhaifu.
Kwa mfano, mwaka wa 2015, udhaifu CVE-2015-5243 uligunduliwa katika phpWHOIS, ikiruhusu utekelezaji wa msimbo wa mshambuliaji wakati wa kuchanganua data iliyoundwa maalum iliyorejeshwa na seva ya WHOIS. Mfano mwingine ni udhaifu CVE-2021-32749, uliogunduliwa mwaka wa 2021 katika kifurushi cha Fail2Ban, ambacho huruhusu utekelezaji wa msimbo wa nje wakati data iliyoharibika inarejeshwa na huduma ya WHOIS inayotumika kutoa onyo la kuzuia (Fail2Ban iliamua anwani ya barua pepe ya msimamizi mwenyeji kupitia WHOIS na kuibainisha wakati wa kuendesha amri ya barua pepe bila kuepuka herufi maalum ipasavyo).
Shambulio la pili linategemea baadhi ya CA zinazotoa uwezo wa kuthibitisha umiliki wa kikoa kupitia anwani ya barua pepe iliyoorodheshwa katika hifadhidata ya msajili wa kikoa, inayopatikana kupitia itifaki ya WHOIS. Inageuka kuwa CA kadhaa zinazounga mkono njia hii ya uthibitishaji zinaendelea kutumia seva ya zamani ya WHOIS kwa kiendelezi cha kikoa cha ".MOBI".
Kwa hivyo, baada ya kupata udhibiti wa jina whois.dotmobiregistry.net, washambuliaji wanaweza kupata data zao, kufanya uthibitishaji, na kupata Cheti cha TLS kwa kikoa chochote katika eneo la .MOBI." Kwa mfano, wakati wa jaribio, watafiti waliomba cheti cha TLS cha kikoa cha microsoft.mobi kutoka kwa msajili wa GlobalSign, na barua pepe "whois@watchTowr.com" iliyorejeshwa na huduma ya uwongo ya WHOIS ilionyeshwa kwenye kiolesura kama inavyopatikana kwa kutuma msimbo wa uthibitishaji wa umiliki wa kikoa.
Chanzo: opennet.ru
