目前有大约五亿台物联网设备 容易遭受 DNS 重绑定攻击
时间 : 2018-07-24 编辑 : DNS智能解析专家 来源 : DNS.COM
近期,包括暴雪、uTorrent、谷歌等多家产品曝出关于DNS重绑定漏洞的消息,对此去年发现蓝牙协议漏洞“BlueBorne”的网络安全公司Armis表示,DNS重绑定这种老式攻击起源于十多年前,并且经过调查后发出警告,称几乎所有的智能设备都会受到该漏洞的影响,初步估计影响设备数量约为5亿台。
那么,什么是DNS重绑定攻击呢?
DNS重绑定攻击是指,攻击者欺骗用户的设备或浏览器来绑定到一个恶意的DNS服务器,从而使设备访问非预期的域名。DNS重绑定攻击通常用于入侵设备,然后将其作为中继设备访问内部网络。
一个典型的DNS重绑定攻击通常需要经历如下阶段:
1.攻击者为恶意域名搭建自定义DNS服务器
2.攻击者通过网络钓鱼,垃圾邮件,XSS或者是合法网站上的广告链接欺骗受害者访问恶意域名
3.用户浏览器会查询该域名的DNS设置
4.恶意DNS服务器响应,之后浏览器将缓存类似于XX.XX.XX.XX这样的地址
5.由于攻击者已经将初始响应中的DNS TTL设置为1秒,因此一秒后,用户浏览器会对同一个域名发出另一个DNS请求,因为之前的入口IP地址已经过期,所以恶意域名需要一个新的IP地址。
6.攻击者的恶意DNS设置会响应一个恶意IP地址如YY.YY.YY.YY,该地址通常为设备的内部网络地址。
7.攻击者为了各种目的(数据收集,发起恶意攻击等)反复使用恶意DNS服务器访问内部网络的更多IP地址。
几乎所有物联网设备易受攻击
Armis 公司表示,物联网设备及其它智能设备是攻击者实施 DNS 重新绑定攻击的完美对象,主要是因为它们在企业网中分布广泛,在侦察和数据窃取方面发挥重要作用。
安全专家表示,调查后发现几乎所有类型的智能设备均易受 DNS 重绑定攻击的影响,包括智能电视、路由器、打印机、监控摄像头、IP 电话、智能助手等等。专家预估存在漏洞易受攻击的设备数量当以亿计,大约为5亿台。
大规模补丁修复希望渺茫
由于XSS、CSRF等漏洞存在众多的安全问题,所以针对DNS重绑定攻击来修补这些设备的漏洞几乎是一项永远无法完成的大任务。来自供应商的这些补丁首先就需要解决XSS和CSRF这些琐碎漏洞,所以更不用说DNS重绑定这类复杂攻击。
但Armis公司的专家表示,比起查找并审计新设备以替代老旧设备的方法而言,将物联网设备集成到当前的网络安全监控产品中可能是最简单且最具成本效益的解决方案。
由于物联网安全在过去一年中一直是一个热门的话题,因此网络安全市场已经做出反应和调整,现在有许多网络安全公司正在为想要避免意外的企业提供监控物联网设备的专用平台。例如最近俄罗斯PIR银行发现黑客通过老旧路由器而入侵了网络,窃取了100万美元。
现在早已不是21世纪头十年的时候了,无论什么公司都必须更新其威胁模型以考虑物联网设备的安全性,无论它们是否易受DNS重绑定攻击或其它类型的攻击。