WatchTowr Laboratuvarlarından araştırmacılar, bir .MOBI etki alanı bölge kayıt kuruluşundan güncel olmayan bir WHOIS hizmetinin yakalanmasını içeren bir deneyin sonuçlarını yayınladı. Araştırmanın nedeni, kayıt kuruluşunun WHOIS hizmet adresini değiştirerek whois.dotmobiregistry.net alanından yeni ana bilgisayar whois.nic.mobi'ye taşımasıydı. Aynı zamanda dotmobiregistry.net alan adının kullanımı durduruldu ve Aralık 2023'te yayınlanarak kayıt için uygun hale geldi.
Araştırmacılar 20 dolar harcayarak bu alanı satın aldılar ve ardından sunucularında kendi hayali WHOIS hizmeti whois.dotmobiregistry.net'i başlattılar. Şaşırtıcı olan ise birçok sistemin yeni ana bilgisayar whois.nic.mobi'ye geçmemesi ve eski adı kullanmaya devam etmesiydi. Bu yıl 30 Ağustos'tan 4 Eylül'e kadar 2.5 binden fazla benzersiz sistemden eski isme yönelik 135 milyon talep kaydedildi.
Talep gönderenler arasında posta yoluyla başvuranlar da vardı. sunucular E-postalarda görünen alan adlarını WHOIS aracılığıyla kontrol eden devlet ve askeri kuruluşlar, güvenlik şirketleri ve güvenlik platformları (VirusTotal, Group-IB), ayrıca sertifika yetkilileri, alan adı doğrulama hizmetleri, SEO hizmetleri ve alan adı kayıt kuruluşları (örneğin, domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io ve webchart.org).
.MOBI etki alanı bölgesinin eski WHOIS hizmetine bir isteğe yanıt olarak herhangi bir veri gönderme yeteneği, istekte bulunanlara yönelik çeşitli saldırı türleri geliştirmek için kullanıldı. İlk saldırı, birisinin uzun süredir değiştirilen bir hizmete istek göndermeye devam etmesi durumunda, muhtemelen bunu güvenlik açıkları içeren eski araçları kullanarak yaptığı varsayımına dayanıyordu.
Örneğin 2015 yılında phpWHOIS'te, WHOIS sunucusu tarafından döndürülen özel biçimlendirilmiş veriler ayrıştırılırken saldırgan kodunun çalıştırılmasına izin veren CVE-2015-5243 güvenlik açığı tespit edildi. Diğer bir örnek ise, 2021 yılında Fail2021Ban paketinde tanımlanan CVE-32749-2 güvenlik açığıdır; bu güvenlik açığı, engelleme uyarısı oluşturma sürecinde kullanılan WHOIS hizmeti tarafından yanlış veriler döndürüldüğünde harici kodun yürütülmesine izin verir (Fail2Ban, ana bilgisayar yöneticisinin e-postasını belirledi). WHOIS aracılığıyla ve özel karakterlerden uygun şekilde kaçmadan posta komutunu çalıştırırken bunu belirttim).
İkinci saldırı, bazı sertifika yetkililerinin, WHOIS protokolü aracılığıyla erişilebilen, alan adı kayıt şirketi veritabanında belirtilen bir e-posta yoluyla alan adı sahipliğini doğrulama yeteneği sağlamasına dayanıyor. Bu doğrulama yöntemini destekleyen birçok sertifika yetkilisinin “.MOBI” etki alanı bölgesi için eski WHOIS sunucusunu kullanmaya devam ettiği ortaya çıktı.
Bu nedenle, whois.dotmobiregistry.net adresinin kontrolünü ele geçiren saldırganlar, verilerini alabilir, doğrulama yapabilir ve bilgi edinebilirler. TLS sertifikası Örneğin, deney sırasında araştırmacılar GlobalSign kayıt kuruluşundan microsoft.mobi alan adı için bir TLS sertifikası talep ettiler ve kurgusal WHOIS hizmeti tarafından döndürülen "whois@watchTowr.com" e-posta adresi, alan adı sahipliği doğrulama kodu göndermek için kullanılabilir olarak arayüzde görüntülendi.
Kaynak: opennet.ru
