.MOBI டொமைன் பதிவாளரின் பாரம்பரிய WHOIS சேவையை அபகரித்த ஒரு பரிசோதனையின் முடிவுகளை watchTowr Labs இன் ஆராய்ச்சியாளர்கள் வெளியிட்டுள்ளனர். பதிவாளர் WHOIS முகவரியை மாற்றியதன் மூலம் இந்த ஆய்வு தூண்டப்பட்டது, அதை whois.dotmobiregistry.net இலிருந்து whois.nic.mobi என்ற புதிய ஹோஸ்டுக்கு மாற்றியது. இதற்கிடையில், dotmobiregistry.net டொமைன் டிசம்பர் 2023 இல் நீக்கப்பட்டு வெளியிடப்பட்டது, இதனால் அது பதிவுக்குக் கிடைக்கும்.
ஆராய்ச்சியாளர்கள் $20 செலவழித்து இந்த டொமைனை வாங்கி, பின்னர் தங்கள் சர்வரில் whois.dotmobiregistry.net என்ற போலி WHOIS சேவையைத் தொடங்கினர். ஆச்சரியப்படும் விதமாக, பல அமைப்புகள் புதிய ஹோஸ்டான whois.nic.mobiக்கு மாறவில்லை, ஆனால் பழைய பெயரையே பயன்படுத்தின. இந்த ஆண்டு ஆகஸ்ட் 30 முதல் செப்டம்பர் 4 வரை, பழைய பெயருக்கான 2.5 மில்லியன் வினவல்கள் பதிவு செய்யப்பட்டு, 135 க்கும் மேற்பட்ட தனித்துவமான அமைப்புகளிலிருந்து அனுப்பப்பட்டன.
கோரிக்கைகளை அனுப்பியவர்களில் தபால்காரர்களும் அடங்குவர். சேவையகங்கள் WHOIS, பாதுகாப்பு நிறுவனங்கள் மற்றும் பாதுகாப்பு தளங்கள் (VirusTotal, Group-IB) வழியாக மின்னஞ்சல்களில் தோன்றும் டொமைன்களைச் சரிபார்த்த அரசு மற்றும் இராணுவ நிறுவனங்கள், அத்துடன் சான்றிதழ் அதிகாரிகள், டொமைன் சரிபார்ப்பு சேவைகள், SEO சேவைகள் மற்றும் டொமைன் பதிவாளர்கள் (எ.கா., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, மற்றும் webchart.org) போன்ற நிறுவனங்கள்.
".MOBI" டொமைன் மண்டலத்திற்கான பழைய WHOIS சேவைக்கு ஒரு கோரிக்கைக்கு பதிலளிக்கும் விதமாக எந்த தரவையும் அனுப்பும் திறன், கோரிக்கையாளர்களுக்கு எதிராக பல வகையான தாக்குதல்களை உருவாக்க சுரண்டப்பட்டது. நீண்ட காலமாக செயலிழந்த சேவையை யாராவது தொடர்ந்து கோரினால், அவர்கள் பாதிப்புகளைக் கொண்ட காலாவதியான கருவிகளைப் பயன்படுத்தி அவ்வாறு செய்கிறார்கள் என்ற அனுமானத்தின் அடிப்படையில் முதல் தாக்குதல் நடத்தப்பட்டது.
உதாரணமாக, 2015 ஆம் ஆண்டில், phpWHOIS இல் CVE-2015-5243 பாதிப்பு கண்டறியப்பட்டது, இது WHOIS சேவையகத்தால் திருப்பி அனுப்பப்பட்ட சிறப்பாக வடிவமைக்கப்பட்ட தரவை பாகுபடுத்தும்போது தாக்குபவர் குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. மற்றொரு உதாரணம் CVE-2021-32749 பாதிப்பு, இது 2021 இல் Fail2Ban தொகுப்பில் கண்டுபிடிக்கப்பட்டது, இது WHOIS சேவையால் தடுக்கும் எச்சரிக்கையை உருவாக்கப் பயன்படுத்தப்படும் தவறான தரவு திருப்பி அனுப்பப்படும்போது வெளிப்புற குறியீடு செயல்படுத்தலை அனுமதிக்கிறது (Fail2Ban ஹோஸ்ட் நிர்வாகியின் மின்னஞ்சல் முகவரியை WHOIS மூலம் தீர்மானித்து, சிறப்பு எழுத்துக்களைத் தப்பிக்காமல் அஞ்சல் கட்டளையை இயக்கும்போது அதைக் குறிப்பிட்டது).
இரண்டாவது தாக்குதல், டொமைன் பதிவாளரின் தரவுத்தளத்தில் பட்டியலிடப்பட்டுள்ள மின்னஞ்சல் முகவரி வழியாக டொமைன் உரிமையைச் சரிபார்க்கும் திறனை வழங்கும் சில CA-க்களை நம்பியுள்ளது, இது WHOIS நெறிமுறை வழியாக அணுகக்கூடியது. இந்த சரிபார்ப்பு முறையை ஆதரிக்கும் பல CA-க்கள் ".MOBI" டொமைன் நீட்டிப்புக்கு பழைய WHOIS சேவையகத்தைத் தொடர்ந்து பயன்படுத்துகின்றன என்பது தெரியவந்துள்ளது.
இவ்வாறு, whois.dotmobiregistry.net என்ற பெயரின் மீது கட்டுப்பாட்டைப் பெற்ற பிறகு, தாக்குபவர்கள் தங்கள் தரவை மீட்டெடுக்கலாம், சரிபார்ப்பைச் செய்யலாம் மற்றும் பெறலாம் TLS சான்றிதழ் .MOBI மண்டலத்தில் உள்ள எந்தவொரு டொமைனுக்கும்." எடுத்துக்காட்டாக, பரிசோதனையின் போது, ஆராய்ச்சியாளர்கள் GlobalSign பதிவாளரிடமிருந்து microsoft.mobi டொமைனுக்கான TLS சான்றிதழைக் கோரினர், மேலும் கற்பனையான WHOIS சேவையால் திருப்பி அனுப்பப்பட்ட "whois@watchTowr.com" என்ற மின்னஞ்சல் இடைமுகத்தில் டொமைன் உரிமை சரிபார்ப்புக் குறியீட்டை அனுப்புவதற்குக் கிடைக்கிறது எனக் காட்டப்பட்டது.
ஆதாரம்: opennet.ru
