Дослідники з компанії watchTowr Labs опублікували результати експерименту із захопленням застарілого WHOIS-сервісу реєстратора доменної зони «.MOBI». Приводом для дослідження стало те, що реєстратор змінив адресу WHOIS-сервісу, перемістивши його з домену whois.dotmobiregistry.net на новий хост whois.nic.mobi. При цьому домен dotmobiregistry.net перестав використовуватись і в грудні 2023 року був звільнений і став доступним для реєстрації.
Дослідники витратили 20 доларів та купили цей домен, після чого на своєму сервері запустили власний фіктивний WHOIS-сервіс whois.dotmobiregistry.net. Здивування викликало те, що багато систем не переключилися на новий хост whois.nic.mobi на продовжували використовувати старе ім'я. З 30 серпня по 4 вересня цього року було зафіксовано 2.5 млн запитів за старим ім'ям, відправлених із більш ніж 135 тисяч унікальних систем.
Серед відправників запитів були поштові сервери державних і військових організацій, що перевіряли домени, що фігурують в email, через WHOIS, що спеціалізуються на безпеці компанії та платформи забезпечення безпеки (VirusTotal, Group-IB), а також засвідчують центри, сервіси перевірки доменів, SEO-сервіси та реєстратори доменів (наприклад, domain.com, godaddy.com, weois, whois, whois. seocheki.net, centralops.net, name.com, urlscan.io та webchart.org).
Можливість надсилати будь-які дані у відповідь на звернення до старого WHOIS-сервісу доменної зони ".MOBI" була використана для розробки декількох видів атак на відправників запитів. Перший варіант атаки ґрунтувався на припущенні, що якщо хтось продовжує надсилати запити до давно заміненого сервісу, то, ймовірно, він робить це з використанням застарілого інструментарію, що містить вразливість.
Наприклад, у phpWHOIS у 2015 році була виявлена вразливість CVE-2015-5243, що дозволяє досягти виконання коду атакуючого при розборі спеціально оформлених даних, що повертаються сервером WHOIS. Іншим прикладом є виявлена в 2021 році вразливість CVE-2021-32749 в пакеті Fail2Ban, що дозволяє виконати зовнішній код при поверненні некоректних даних WHOIS-сервісом, що використовується в процесі формування попередження про блокування (Fail2Ban визначав через WHO email mail без належного екранування спецсимволів).
Друга атака заснована на тому, що деякі центри, що засвідчують, надають можливість верифікації володіння доменом через email, вказаний в базі реєстратора домену, доступної через протокол WHOIS. Виявилося, що кілька центрів, що засвідчують, з підтримкою такого методу перевірки продовжують використовувати старий WHOIS-сервер для доменної зони «.MOBI».
Таким чином, отримавши контроль над ім'ям whois.dotmobiregistry.net атакуючі можуть повернути свої дані, виконати підтвердження та отримати TLS-сертифікат для будь-якого домену у зоні .MOBI». Наприклад, в ході експерименту дослідники запросили у реєстратора GlobalSign TLS-сертифікат для домену microsoft.mobi і повернутий фіктивним WHOIS-сервісом email whois@watchTowr.com був показаний в інтерфейсі як доступний для відправки коду підтвердження володіння доменом.
Джерело: opennet.ru
