watchTowr Labs کے محققین نے .MOBI ڈومین رجسٹرار کی WHOIS سروس کو ہائی جیک کرنے والے ایک تجربے کے نتائج شائع کیے ہیں۔ یہ مطالعہ رجسٹرار کی طرف سے WHOIS ایڈریس کی تبدیلی سے ہوا، اسے whois.dotmobiregistry.net سے نئے میزبان whois.nic.mobi پر منتقل کر دیا گیا۔ دریں اثنا، dotmobiregistry.net ڈومین کو ختم کر دیا گیا اور دسمبر 2023 میں اسے جاری کیا گیا، جس سے اسے رجسٹریشن کے لیے دستیاب کر دیا گیا۔
محققین نے $20 خرچ کرکے یہ ڈومین خریدا، پھر اپنے سرور پر اپنی جعلی WHOIS سروس whois.dotmobiregistry.net شروع کی۔ حیرت کی بات یہ ہے کہ بہت سے سسٹم نئے ہوسٹ whois.nic.mobi پر نہیں گئے لیکن پرانے نام کا استعمال جاری رکھا۔ اس سال 30 اگست سے 4 ستمبر تک، پرانے نام کے لیے 2.5 ملین سوالات ریکارڈ کیے گئے، جو 135 سے زیادہ منفرد سسٹمز سے بھیجے گئے۔
درخواستیں بھیجنے والوں میں ڈاک بھی شامل تھی۔ سرور سرکاری اور عسکری تنظیمیں جنہوں نے WHOIS، سیکیورٹی کمپنیاں اور سیکیورٹی پلیٹ فارمز (VirusTotal, Group-IB) کے ذریعے ای میلز میں ظاہر ہونے والے ڈومینز کو چیک کیا، نیز سرٹیفیکیشن حکام، ڈومین کی تصدیق کی خدمات، SEO خدمات، اور ڈومین رجسٹرار (مثال کے طور پر، domain.com، godaddy.com، who.is, whois.ru, smallstoolnet.ru, smallstoopnet.com) name.com، urlscan.io، اور webchart.org)۔
".MOBI" ڈومین زون کے لیے پرانی WHOIS سروس کو کی گئی درخواست کے جواب میں کوئی بھی ڈیٹا بھیجنے کی صلاحیت کو درخواست گزاروں کے خلاف کئی قسم کے حملے تیار کرنے کے لیے استعمال کیا گیا۔ پہلا حملہ اس مفروضے پر مبنی تھا کہ اگر کوئی طویل المدت سروس کی درخواست کرتا رہتا ہے، تو وہ ممکنہ طور پر ایسے پرانے ٹولز کا استعمال کر رہے ہیں جن میں خطرات موجود ہیں۔
مثال کے طور پر، 2015 میں، phpWHOIS میں کمزور CVE-2015-5243 کا پتہ چلا، جو WHOIS سرور کے ذریعے واپس کیے گئے خصوصی طور پر تیار کردہ ڈیٹا کو پارس کرتے وقت حملہ آور کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے۔ ایک اور مثال کمزوری CVE-2021-32749 ہے، جسے 2021 میں Fail2Ban پیکیج میں دریافت کیا گیا تھا، جو بلاکنگ وارننگ جنریٹ کرنے کے لیے استعمال ہونے والی WHOIS سروس کے ذریعے خراب ڈیٹا واپس کیے جانے پر بیرونی کوڈ پر عمل درآمد کی اجازت دیتا ہے (Fail2Ban نے میزبان ایڈمنسٹریٹر کا تعین کیا جب اسے WHOIS کے ای میل ایڈریس کے بغیر WHOIS کی کمانڈ کے ذریعے چلایا جاتا ہے۔ خصوصی کرداروں سے بچنا)۔
دوسرا حملہ کچھ CAs پر انحصار کرتا ہے جو ڈومین رجسٹرار کے ڈیٹا بیس میں درج ای میل ایڈریس کے ذریعے ڈومین کی ملکیت کی تصدیق کرنے کی صلاحیت پیش کرتے ہیں، جو WHOIS پروٹوکول کے ذریعے قابل رسائی ہے۔ اس سے پتہ چلتا ہے کہ تصدیق کے اس طریقہ کو سپورٹ کرنے والے کئی CAs ".MOBI" ڈومین ایکسٹینشن کے لیے پرانے WHOIS سرور کا استعمال جاری رکھے ہوئے ہیں۔
اس طرح، whois.dotmobiregistry.net نام پر کنٹرول حاصل کرنے کے بعد، حملہ آور اپنا ڈیٹا حاصل کر سکتے ہیں، تصدیق کر سکتے ہیں اور حاصل کر سکتے ہیں۔ TLS سرٹیفکیٹ .MOBI زون میں کسی بھی ڈومین کے لیے۔ مثال کے طور پر، تجربے کے دوران، محققین نے GlobalSign رجسٹرار سے microsoft.mobi ڈومین کے لیے TLS سرٹیفکیٹ کی درخواست کی، اور فرضی WHOIS سروس کے ذریعے لوٹائی گئی ای میل "whois@watchTowr.com" کو انٹرفیس میں دکھایا گیا جیسا کہ ڈومین کی ملکیت کی تصدیق کوڈ بھیجنے کے لیے دستیاب ہے۔
ماخذ: opennet.ru
