物聯(lián)網(wǎng)設(shè)備仍受DNS重綁定攻擊影響

宋明成

網(wǎng)絡(luò)安全公司Aemis在2017年發(fā)現(xiàn)藍牙協(xié)議漏洞“BlueBorne”之后，于近日再次發(fā)出警告，稱大約五億的智能設(shè)備如今仍受DNS重綁定這種老式攻擊的影響。

受近期關(guān)于暴雪APP、uTorrent、Google Home、Roku TV以及Sonos設(shè)備中DNS重綁定漏洞報道的影響，Aemis公司最近分析了此類攻擊對物聯(lián)網(wǎng)設(shè)備的影響。什么是DNS重綁定攻擊呢？

DNS重綁定攻擊是指攻擊者欺騙用戶的設(shè)備或瀏覽器來綁定到一個惡意的DNS服務(wù)器，從而使設(shè)備訪問非預(yù)期的域名。DNS重綁定攻擊通常用于入侵設(shè)備，然后將其作為中繼設(shè)備訪問內(nèi)部網(wǎng)絡(luò)。一個典型的DNS重綁定攻擊會經(jīng)歷如下階段：

1.攻擊者為惡意域名搭建自定義DNS服務(wù)器；

2.攻擊者通過網(wǎng)絡(luò)釣魚、垃圾郵件、XSS或者是合法網(wǎng)站上的廣告鏈接欺騙受害者訪問惡意域名；

3.用戶瀏覽器會查詢該域名的DNS設(shè)置；

4.惡意DNS服務(wù)器響應(yīng)，之后瀏覽器將緩存類似于XX. XX.XX.XX這樣的地址；

5.由于攻擊者將初始響應(yīng)中的DNS TTL設(shè)置為1 s，1 s后用戶瀏覽器會對同一個域名發(fā)出另一個DNS請求，因為之前的入口已經(jīng)過期，所以惡意域名需要一個新的IP地址；

6.攻擊者的惡意DNS設(shè)置會響應(yīng)一個惡意IP地址，如YY.YY.YY.YY，該地址通常為設(shè)備的內(nèi)部網(wǎng)絡(luò)地址。

7.攻擊者為了各種目的（數(shù)據(jù)收集、發(fā)起惡意攻擊等）反復(fù)使用惡意DNS服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)的更多IP地址。

Armis公司表示，物聯(lián)網(wǎng)以及其他智能設(shè)備正是攻擊者通過DNS重綁定漏洞進行攻擊的完美目標，主要由于其在企業(yè)網(wǎng)絡(luò)中分布較廣，在情報收集和數(shù)據(jù)竊取方面可以發(fā)揮驚人的作用。

有專家稱，經(jīng)過調(diào)查他們發(fā)現(xiàn)幾乎所有類型的智能設(shè)備都容易受到DNS重綁定攻擊的影響，從智能電視到路由器，從打印機到監(jiān)控攝像頭，從手機到智能助手……

總而言之，據(jù)估計存在漏洞的設(shè)備數(shù)量當以億計，估計量約為五億。

然而針對DNS重綁定攻擊來修補這些設(shè)備的漏洞幾乎是一項永遠無法完成的大任務(wù)，來自供應(yīng)商的這些補丁首先需要解決XSS和CSRF這些瑣碎漏洞，所以更不用說DNS重綁定這類復(fù)雜攻擊。但Armis公司的專家表示，相比于查看和審核新設(shè)備以取代舊設(shè)備，將物聯(lián)網(wǎng)設(shè)備集成到當前的網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品中可能是最簡單且最具成本效益的解決方案。

由于物聯(lián)網(wǎng)安全在過去一年中一直是一個熱門的話題，因此網(wǎng)絡(luò)安全市場已經(jīng)做出反應(yīng)和調(diào)整，現(xiàn)在有許多網(wǎng)絡(luò)安全公司正在為想要避免意外的企業(yè)提供監(jiān)控物聯(lián)網(wǎng)設(shè)備的專用平臺。（會有什么意外？例如，最近俄羅斯PIR銀行發(fā)現(xiàn)黑客通過老舊路由器而入侵了網(wǎng)絡(luò)，之后偷走了100萬美元。）

總之，現(xiàn)在已經(jīng)不再是2000年了，無論什么公司都必須更新其威脅模型以考慮物聯(lián)網(wǎng)設(shè)備的安全性，無論它們是否易受DNS重綁定攻擊或任何其他缺陷的影響。