watchTowr Labs tadqiqotchilari .MOBI domen zonasi registratoridan eskirgan WHOIS xizmatini qo‘lga kiritish bo‘yicha tajriba natijalarini e’lon qilishdi. Tadqiqotning sababi, ro'yxatga oluvchining WHOIS xizmat manzilini o'zgartirib, uni whois.dotmobiregistry.net domenidan whois.nic.mobi yangi xostiga ko'chirishi edi. Shu bilan birga, dotmobiregistry.net domeni foydalanishni to'xtatdi va 2023 yil dekabr oyida u chiqarildi va ro'yxatdan o'tish uchun mavjud bo'ldi.
Tadqiqotchilar 20 dollar sarfladilar va bu domenni sotib oldilar, shundan so‘ng ular o‘z serverlarida o‘zlarining whois.dotmobiregistry.net xayoliy WHOIS xizmatini ishga tushirdilar. Ajablanarlisi shundaki, ko'plab tizimlar yangi whois.nic.mobi xostiga o'tmagan va eski nomdan foydalanishda davom etgan. Joriy yilning 30-avgustidan 4-sentabriga qadar 2.5 mingdan ortiq noyob tizimlardan eski nomga 135 million so‘rov qayd etilgan.
So'rov yuboruvchilar orasida pochta jo'natuvchilari ham bor edi serverlar WHOIS, xavfsizlik kompaniyalari va xavfsizlik platformalari (VirusTotal, Group-IB), shuningdek, sertifikatlashtirish organlari, domenni tekshirish xizmatlari, SEO xizmatlari va domen registratorlari (masalan, domain.com, godaddy.com, who.is, whois.ru, smalleso.tools, seocheki.net, centralops.net, name.com, urlscan.io va webchart.org) orqali elektron pochta xabarlarida ko'rsatilgan domenlarni tekshirgan hukumat va harbiy tashkilotlar.
.MOBI domen zonasining eski WHOIS xizmatiga so'rovga javoban istalgan ma'lumotlarni yuborish imkoniyati so'rovchilarga bir necha turdagi hujumlarni ishlab chiqish uchun ishlatilgan. Birinchi hujum, agar kimdir uzoq vaqt almashtirilgan xizmatga so'rov yuborishda davom etsa, u zaifliklarni o'z ichiga olgan eskirgan asboblardan foydalangan holda amalga oshirayotgan bo'lishi mumkin degan taxminga asoslangan edi.
Misol uchun, 2015 yilda phpWHOIS da CVE-2015-5243 zaifligi aniqlangan, bu WHOIS serveri tomonidan qaytarilgan maxsus formatlangan ma'lumotlarni tahlil qilishda tajovuzkor kodini bajarishga imkon beradi. Yana bir misol, 2021-yilda Fail2021Ban paketida aniqlangan CVE-32749-2 zaifligi bo‘lib, u blokirovkalash ogohlantirishini yaratish jarayonida foydalaniladigan WHOIS xizmati tomonidan noto‘g‘ri ma’lumotlar qaytarilganda tashqi kodni bajarishga imkon beradi (Fail2Ban xost administratorining elektron pochta manzilini aniqladi) WHOIS orqali va maxsus belgilardan to'g'ri chiqmasdan buyruq pochtasini ishga tushirishda uni ko'rsatdi).
Ikkinchi hujum ba'zi sertifikatlashtirish idoralari WHOIS protokoli orqali kirish mumkin bo'lgan domen ro'yxatga oluvchi ma'lumotlar bazasida ko'rsatilgan elektron pochta orqali domen egaligini tekshirish imkoniyatini taqdim etishiga asoslanadi. Ma'lum bo'lishicha, ushbu tekshirish usulini qo'llab-quvvatlaydigan bir nechta sertifikatlash idoralari ".MOBI" domen zonasi uchun eski WHOIS serveridan foydalanishda davom etmoqda.
Shunday qilib, whois.dotmobiregistry.net nomi ustidan nazoratni qo'lga kiritgan tajovuzkorlar o'z ma'lumotlarini olishlari, tekshirishlari va olishlari mumkin TLS sertifikati ".MOBI zonasidagi har qanday domen uchun." Masalan, tajriba davomida tadqiqotchilar GlobalSign registratoridan microsoft.mobi domeni uchun TLS sertifikatini so'rashdi va xayoliy WHOIS xizmati tomonidan qaytarilgan "whois@watchTowr.com" elektron pochta manzili interfeysda domen egalik huquqini tasdiqlash kodini yuborish uchun mavjud sifatida ko'rsatildi.
Manba: opennet.ru
