Các nhà nghiên cứu từ watchTowr Labs đã công bố kết quả của một thử nghiệm liên quan đến việc thu thập dịch vụ WHOIS đã lỗi thời từ nhà đăng ký vùng miền .MOBI. Lý do của nghiên cứu là nhà đăng ký đã thay đổi địa chỉ dịch vụ WHOIS, chuyển nó từ tên miền whois.dotmobiregistry.net sang máy chủ mới whois.nic.mobi. Đồng thời, miền dotmobiregistry.net đã không còn được sử dụng và vào tháng 2023 năm XNUMX, nó đã được phát hành và có sẵn để đăng ký.
Các nhà nghiên cứu đã chi 20 USD và mua miền này, sau đó họ tung ra dịch vụ WHOIS hư cấu whois.dotmobiregistry.net trên máy chủ của mình. Điều đáng ngạc nhiên là nhiều hệ thống không chuyển sang máy chủ mới whois.nic.mobi mà tiếp tục sử dụng tên cũ. Từ ngày 30 tháng 4 đến ngày 2.5 tháng 135 năm nay, XNUMX triệu yêu cầu với tên cũ đã được ghi nhận, được gửi từ hơn XNUMX nghìn hệ thống duy nhất.
Trong số những người gửi yêu cầu có cả bưu điện. may chủ Các tổ chức chính phủ và quân đội đã kiểm tra các tên miền xuất hiện trong email thông qua WHOIS, các công ty an ninh và nền tảng bảo mật (VirusTotal, Group-IB), cũng như các cơ quan chứng nhận, dịch vụ xác minh tên miền, dịch vụ SEO và các nhà đăng ký tên miền (ví dụ: domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io và webchart.org).
Khả năng gửi bất kỳ dữ liệu nào để đáp lại yêu cầu tới dịch vụ WHOIS cũ của vùng miền .MOBI đã được sử dụng để phát triển một số kiểu tấn công nhằm vào người yêu cầu. Cuộc tấn công đầu tiên dựa trên giả định rằng nếu ai đó tiếp tục gửi yêu cầu đến một dịch vụ đã được thay thế từ lâu thì có khả năng họ đang làm như vậy bằng cách sử dụng công cụ lỗi thời có chứa lỗ hổng bảo mật.
Ví dụ: trong phpWHOIS năm 2015, lỗ hổng CVE-2015-5243 đã được xác định, cho phép thực thi mã kẻ tấn công khi phân tích cú pháp dữ liệu được định dạng đặc biệt do máy chủ WHOIS trả về. Một ví dụ khác là lỗ hổng CVE-2021-2021 được xác định vào năm 32749 trong gói Fail2Ban, cho phép thực thi mã bên ngoài khi dữ liệu không chính xác được dịch vụ WHOIS trả về trong quá trình tạo cảnh báo chặn (Fail2Ban xác định email của quản trị viên máy chủ thông qua WHOIS và chỉ định nó khi chạy thư lệnh mà không thoát đúng các ký tự đặc biệt).
Cuộc tấn công thứ hai dựa trên thực tế là một số cơ quan cấp chứng chỉ cung cấp khả năng xác minh quyền sở hữu tên miền thông qua email được chỉ định trong cơ sở dữ liệu của công ty đăng ký tên miền, có thể truy cập được qua giao thức WHOIS. Hóa ra một số cơ quan chứng nhận hỗ trợ phương pháp xác minh này vẫn tiếp tục sử dụng máy chủ WHOIS cũ cho vùng miền “.MOBI”.
Như vậy, sau khi giành được quyền kiểm soát tên miền whois.dotmobiregistry.net, kẻ tấn công có thể truy xuất dữ liệu, thực hiện xác minh và thu thập thông tin. Chứng chỉ TLS cho bất kỳ tên miền nào trong vùng .MOBI." Ví dụ, trong thí nghiệm, các nhà nghiên cứu đã yêu cầu chứng chỉ TLS cho tên miền microsoft.mobi từ nhà đăng ký GlobalSign, và địa chỉ email "whois@watchTowr.com" được trả về bởi dịch vụ WHOIS giả định đã được hiển thị trong giao diện như là địa chỉ có thể dùng để gửi mã xác minh quyền sở hữu tên miền.
Nguồn: opennet.ru
