watchTowr Labs 的研究人員發布了一項實驗結果,該實驗涉及從 .MOBI 域名區域註冊商捕獲過時的 WHOIS 服務。研究的原因是註冊商更改了 WHOIS 服務地址,將其從網域名稱 whois.dotmobiregistry.net 移至新主機 whois.nic.mobi。同時,dotmobiregistry.net 網域停止使用,並於 2023 年 XNUMX 月發布並可供註冊。
研究人員花了 20 美元購買了這個域名,之後他們在自己的伺服器上啟動了自己的虛構 WHOIS 服務 whois.dotmobiregistry.net。令人驚訝的是,許多系統並沒有切換到新主機whois.nic.mobi,而是繼續使用舊名稱。今年30月4日至2.5月135日,記錄了XNUMX萬次舊名稱請求,這些請求來自超過XNUMX萬個獨特的系統。
請求發送者包括郵政人員 服務 政府和軍事組織透過 WHOIS 檢查電子郵件中出現的域名,安全公司和安全平台(VirusTotal、Group-IB),以及證書頒發機構、域名驗證服務、SEO 服務和域名註冊商(例如 domain.com、godaddy.com、who.is、whois.ru、smallseo.tools、seo.com、who.is、whois.ru、smallseo。
響應請求而發送任何資料到 .MOBI 域區域的舊 WHOIS 服務的能力被用來對請求者發起多種類型的攻擊。第一次攻擊基於這樣的假設:如果有人繼續向長期替換的服務發送請求,那麼他們很可能會使用包含漏洞的過時工具來執行此操作。
例如,在2015年的phpWHOIS中,發現了CVE-2015-5243漏洞,該漏洞允許在解析WHOIS伺服器傳回的特殊格式資料時執行攻擊者程式碼。另一個例子是2021 年在Fail2021Ban 軟體包中發現的漏洞CVE-32749-2,該漏洞允許在產生阻止警告過程中使用的WHOIS 服務返回錯誤資料時執行外部程式碼(Fail2Ban 確定了主機管理員的電子郵件)透過 WHOIS 並在運行命令郵件時指定它,而沒有正確轉義特殊字元)。
第二次攻擊基於以下事實:某些憑證授權單位提供透過網域名稱註冊商資料庫中指定的電子郵件(可透過 WHOIS 協定存取)來驗證網域所有權的功能。事實證明,幾個支援這種驗證方法的認證機構繼續使用舊的 WHOIS 伺服器作為「.MOBI」網域區域。
因此,攻擊者一旦控制了 whois.dotmobiregistry.net 域名,就可以檢索資料、執行驗證並取得資訊。 TLS憑證 對於 .MOBI 區域中的任何網域。 」例如,在實驗過程中,研究人員向 GlobalSign 註冊商請求 microsoft.mobi 網域的 TLS 證書,虛構的 WHOIS 服務回傳的電子郵件「whois@watchTowr.com」顯示在介面中,可用於發送網域名稱所有權驗證碼。
來源: opennet.ru
