watchTowr Labs 的研究人员公布了一项实验结果,该实验劫持了 .MOBI 域名注册商的旧版 WHOIS 服务。这项研究的起因是该注册商更改了 WHOIS 地址,将其从 whois.dotmobiregistry.net 迁移到了新的主机 whois.nic.mobi。与此同时,dotmobiregistry.net 域名已于 2023 年 12 月停用并重新开放注册。
研究人员花费 20 美元购买了这个域名,然后在自己的服务器上启动了虚假的 WHOIS 服务 whois.dotmobiregistry.net。令人惊讶的是,许多系统并没有切换到新的主机 whois.nic.mobi,而是继续使用旧域名。从今年 8 月 30 日到 9 月 4 日,记录到超过 135 万个独立系统对旧域名发出了 250 万次查询。
请求发送者中包括邮政人员 伺服器 政府和军事组织通过 WHOIS 检查电子邮件中出现的域名,安全公司和安全平台(VirusTotal、Group-IB),以及证书颁发机构、域名验证服务、SEO 服务和域名注册商(例如 domain.com、godaddy.com、who.is、whois.ru、smallseo.tools、seocheki.net、centralops.net、name.com、urlscan.io 和 webchart.org)。
攻击者利用旧版 WHOIS 服务(针对“.MOBI”域名区域)允许发送任意数据的功能,开发了多种针对请求者的攻击手段。第一种攻击基于这样的假设:如果有人继续请求这项早已失效的服务,那么他们很可能使用的是存在漏洞的过时工具。
例如,2015 年,phpWHOIS 中发现了 CVE-2015-5243 漏洞,该漏洞允许攻击者在解析 WHOIS 服务器返回的特制数据时执行代码。另一个例子是 2021 年在 Fail2Ban 软件包中发现的 CVE-2021-32749 漏洞,该漏洞允许在 WHOIS 服务返回格式错误的数据时执行外部代码(Fail2Ban 通过 WHOIS 确定了主机管理员的电子邮件地址,并在运行 mail 命令时指定了该地址,但未正确转义特殊字符)。
第二种攻击利用了部分证书颁发机构(CA)提供的通过域名注册商数据库中列出的电子邮件地址验证域名所有权的功能,而该数据库可通过 WHOIS 协议访问。结果发现,一些支持此验证方法的 CA 仍然在使用旧的 WHOIS 服务器来处理“.MOBI”域名后缀。
因此,攻击者一旦控制了 whois.dotmobiregistry.net 域名,就可以检索数据、执行验证并获取信息。 TLS证书 对于 .MOBI 区域中的任何域名。”例如,在实验过程中,研究人员向 GlobalSign 注册商请求 microsoft.mobi 域名的 TLS 证书,虚构的 WHOIS 服务返回的电子邮件“whois@watchTowr.com”显示在界面中,可用于发送域名所有权验证码。
来源: opennet.ru
