watchTowr ల్యాబ్స్ నుండి పరిశోధకులు .MOBI డొమైన్ జోన్ రిజిస్ట్రార్ నుండి కాలం చెల్లిన WHOIS సేవను సంగ్రహించడంతో కూడిన ప్రయోగం ఫలితాలను ప్రచురించారు. అధ్యయనానికి కారణం ఏమిటంటే, రిజిస్ట్రార్ WHOIS సర్వీస్ చిరునామాను మార్చారు, దానిని whois.dotmobiregistry.net డొమైన్ నుండి కొత్త హోస్ట్ whois.nic.mobiకి మార్చారు. అదే సమయంలో, dotmobiregistry.net డొమైన్ ఉపయోగించడం ఆగిపోయింది మరియు డిసెంబర్ 2023లో ఇది విడుదల చేయబడింది మరియు రిజిస్ట్రేషన్ కోసం అందుబాటులోకి వచ్చింది.
పరిశోధకులు $20 వెచ్చించి ఈ డొమైన్ను కొనుగోలు చేశారు, ఆ తర్వాత వారు తమ సర్వర్లో తమ స్వంత కల్పిత WHOIS సర్వీస్ whois.dotmobiregistry.netని ప్రారంభించారు. ఆశ్చర్యకరమైన విషయం ఏమిటంటే, చాలా సిస్టమ్లు కొత్త హోస్ట్ whois.nic.mobiకి మారలేదు మరియు పాత పేరును ఉపయోగించడం కొనసాగించాయి. ఈ సంవత్సరం ఆగస్టు 30 నుండి సెప్టెంబర్ 4 వరకు, పాత పేరు కోసం 2.5 మిలియన్ అభ్యర్థనలు రికార్డ్ చేయబడ్డాయి, 135 వేలకు పైగా ప్రత్యేక వ్యవస్థల నుండి పంపబడ్డాయి.
అభ్యర్థనలు పంపినవారిలో పోస్టల్ సర్వర్లు WHOIS, భద్రతా కంపెనీలు మరియు భద్రతా ప్లాట్ఫారమ్లు (VirusTotal, Group-IB) ద్వారా ఇమెయిల్లలో కనిపించే డొమైన్లను తనిఖీ చేసిన ప్రభుత్వం మరియు సైనిక సంస్థలు, అలాగే సర్టిఫికేషన్ అధికారులు, డొమైన్ ధృవీకరణ సేవలు, SEO సేవలు మరియు డొమైన్ రిజిస్ట్రార్లు (ఉదా., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, మరియు webchart.org).
.MOBI డొమైన్ జోన్ యొక్క పాత WHOIS సేవకు అభ్యర్థనకు ప్రతిస్పందనగా ఏదైనా డేటాను పంపగల సామర్థ్యం అభ్యర్థనదారులపై అనేక రకాల దాడులను అభివృద్ధి చేయడానికి ఉపయోగించబడింది. ఎవరైనా దీర్ఘకాలంగా భర్తీ చేయబడిన సేవకు అభ్యర్థనలను పంపడం కొనసాగిస్తే, వారు దుర్బలత్వాలను కలిగి ఉన్న కాలం చెల్లిన సాధనాలను ఉపయోగించి అలా చేస్తున్నారనే ఊహ ఆధారంగా మొదటి దాడి జరిగింది.
ఉదాహరణకు, 2015లో phpWHOISలో, CVE-2015-5243 దుర్బలత్వం గుర్తించబడింది, ఇది WHOIS సర్వర్ ద్వారా అందించబడిన ప్రత్యేకంగా ఫార్మాట్ చేయబడిన డేటాను అన్వయించేటప్పుడు దాడి చేసే కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. మరొక ఉదాహరణ Fail2021Ban ప్యాకేజీలో 2021లో గుర్తించబడిన దుర్బలత్వం CVE-32749-2, ఇది నిరోధించే హెచ్చరికను రూపొందించే ప్రక్రియలో ఉపయోగించిన WHOIS సేవ ద్వారా తప్పు డేటా తిరిగి వచ్చినప్పుడు బాహ్య కోడ్ను అమలు చేయడానికి అనుమతిస్తుంది (Fail2Ban హోస్ట్ అడ్మినిస్ట్రేటర్ యొక్క ఇమెయిల్ను నిర్ణయించింది WHOIS ద్వారా మరియు ప్రత్యేక అక్షరాలు సరిగ్గా తప్పించుకోకుండా కమాండ్ మెయిల్ను అమలు చేస్తున్నప్పుడు దానిని పేర్కొనండి).
రెండవ దాడి డొమైన్ రిజిస్ట్రార్ డేటాబేస్లో పేర్కొన్న ఇమెయిల్ ద్వారా డొమైన్ యాజమాన్యాన్ని ధృవీకరించే సామర్థ్యాన్ని కొంతమంది ధృవీకరణ అధికారులు అందించడంపై ఆధారపడింది, ఇది WHOIS ప్రోటోకాల్ ద్వారా యాక్సెస్ చేయబడుతుంది. ఈ ధృవీకరణ పద్ధతికి మద్దతు ఇచ్చే అనేక ధృవీకరణ అధికారులు “.MOBI” డొమైన్ జోన్ కోసం పాత WHOIS సర్వర్ని ఉపయోగించడం కొనసాగించారు.
అందువలన, whois.dotmobiregistry.net పేరుపై నియంత్రణ సాధించిన తరువాత, దాడి చేసేవారు వారి డేటాను తిరిగి పొందవచ్చు, ధృవీకరణ చేయవచ్చు మరియు పొందవచ్చు TLS సర్టిఫికెట్ .MOBI జోన్లోని ఏదైనా డొమైన్ కోసం." ఉదాహరణకు, ప్రయోగం సమయంలో, పరిశోధకులు GlobalSign రిజిస్ట్రార్ నుండి microsoft.mobi డొమైన్ కోసం TLS సర్టిఫికేట్ను అభ్యర్థించారు మరియు కల్పిత WHOIS సేవ ద్వారా తిరిగి వచ్చిన "whois@watchTowr.com" ఇమెయిల్ డొమైన్ యాజమాన్య ధృవీకరణ కోడ్ను పంపడానికి అందుబాటులో ఉన్నట్లు ఇంటర్ఫేస్లో ప్రదర్శించబడింది.
మూలం: opennet.ru
