นักวิจัยจาก watchTowr Labs ได้เผยแพร่ผลการทดลองเจาะระบบบริการ WHOIS เดิมของผู้ให้บริการจดทะเบียนโดเมน .MOBI การศึกษาครั้งนี้เกิดขึ้นเนื่องจากผู้ให้บริการจดทะเบียนได้เปลี่ยนที่อยู่ WHOIS จาก whois.dotmobiregistry.net ไปยังโฮสต์ใหม่ whois.nic.mobi ในขณะเดียวกัน โดเมน dotmobiregistry.net ก็ถูกยกเลิกและเปิดให้จดทะเบียนในเดือนธันวาคม 2023
นักวิจัยใช้เงิน 20 ดอลลาร์ซื้อโดเมนนี้ จากนั้นจึงเปิดใช้งานบริการ WHOIS ปลอมของตนเองที่ whois.dotmobiregistry.net บนเซิร์ฟเวอร์ของพวกเขา ที่น่าประหลาดใจคือ ระบบจำนวนมากไม่ได้เปลี่ยนไปใช้โฮสต์ใหม่ whois.nic.mobi แต่ยังคงใช้ชื่อเดิมต่อไป ตั้งแต่วันที่ 30 สิงหาคมถึง 4 กันยายนของปีนี้ มีการบันทึกการสอบถามชื่อเดิมถึง 2.5 ล้านครั้ง จากระบบมากกว่า 135 ระบบ
ในบรรดาผู้ส่งคำขอมีไปรษณีย์รวมอยู่ด้วย серверы หน่วยงานภาครัฐและกองทัพที่ตรวจสอบโดเมนที่ปรากฏในอีเมลผ่าน WHOIS บริษัทรักษาความปลอดภัยและแพลตฟอร์มรักษาความปลอดภัย (VirusTotal, Group-IB) รวมถึงหน่วยงานรับรอง บริการตรวจสอบโดเมน บริการ SEO และผู้จดทะเบียนโดเมน (เช่น domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io และ webchart.org)
ความสามารถในการส่งข้อมูลใดๆ เพื่อตอบสนองต่อคำขอไปยังบริการ WHOIS เก่าสำหรับโดเมน ".MOBI" ถูกนำไปใช้ประโยชน์ในการพัฒนาการโจมตีหลายประเภทต่อผู้ร้องขอ การโจมตีครั้งแรกนั้นตั้งอยู่บนสมมติฐานที่ว่า หากมีใครยังคงร้องขอไปยังบริการที่ปิดตัวไปนานแล้ว พวกเขาน่าจะใช้เครื่องมือที่ล้าสมัยซึ่งมีช่องโหว่
ตัวอย่างเช่น ในปี 2015 มีการค้นพบช่องโหว่ CVE-2015-5243 ใน phpWHOIS ซึ่งอนุญาตให้ผู้โจมตีสามารถเรียกใช้โค้ดได้เมื่อทำการวิเคราะห์ข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษซึ่งส่งคืนโดยเซิร์ฟเวอร์ WHOIS อีกตัวอย่างหนึ่งคือช่องโหว่ CVE-2021-32749 ซึ่งค้นพบในปี 2021 ในแพ็กเกจ Fail2Ban ซึ่งอนุญาตให้เรียกใช้โค้ดจากภายนอกได้เมื่อได้รับข้อมูลที่ไม่ถูกต้องจากบริการ WHOIS ที่ใช้ในการสร้างคำเตือนการบล็อก (Fail2Ban ตรวจสอบที่อยู่อีเมลของผู้ดูแลระบบโฮสต์ผ่าน WHOIS และระบุที่อยู่อีเมลนั้นเมื่อเรียกใช้คำสั่ง mail โดยไม่ได้ทำการหลีกเลี่ยงอักขระพิเศษอย่างถูกต้อง)
การโจมตีครั้งที่สองอาศัยช่องโหว่ที่หน่วยงานออกใบรับรอง (CA) บางแห่งเสนอความสามารถในการตรวจสอบความเป็นเจ้าของโดเมนผ่านที่อยู่อีเมลที่อยู่ในฐานข้อมูลของผู้จดทะเบียนโดเมน ซึ่งสามารถเข้าถึงได้ผ่านโปรโตคอล WHOIS ปรากฏว่า CA หลายแห่งที่รองรับวิธีการตรวจสอบนี้ยังคงใช้เซิร์ฟเวอร์ WHOIS เก่าสำหรับส่วนขยายโดเมน ".MOBI" อยู่
ดังนั้น เมื่อผู้โจมตีได้ควบคุมชื่อ whois.dotmobiregistry.net แล้ว พวกเขาก็สามารถดึงข้อมูล ตรวจสอบความถูกต้อง และได้รับข้อมูลต่างๆ ได้ ใบรับรอง TLS สำหรับโดเมนใดๆ ในโซน .MOBI" ตัวอย่างเช่น ในระหว่างการทดลอง นักวิจัยได้ขอใบรับรอง TLS สำหรับโดเมน microsoft.mobi จากผู้จดทะเบียน GlobalSign และอีเมล "whois@watchTowr.com" ที่ได้รับจากบริการ WHOIS สมมติ จะปรากฏในอินเทอร์เฟซให้สามารถส่งรหัสยืนยันความเป็นเจ้าของโดเมนได้
ที่มา: opennet.ru
