五亿物联网设备易受 DNS 重新绑定攻击

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

曾在蓝牙协议中发现BlueBorne漏洞的网络安全公司Armis警告称，当前近5亿“智能”设备易受已存在10年之久的DNS重新绑定攻击。

最近多份报告指出，Blizzard 应用、uTorrent、Google Home、Roku TV 和 Sonos 设备中存在 DNS 重新绑定缺陷。受此启发，Armis 分析了这种攻击类型对物联网类型设备所产生的影响。

什么是 DNS 重新绑定攻击

DNS 重新绑定攻击是指，攻击者诱骗用户浏览器或设备绑定一个恶意 DNS 服务器，然后使得该设备访问计划之外的域名。在正常情况下，DNS 重新绑定攻击用于攻陷设备并将这些设备作为内部网络中的中继点。典型的 DNS 重新绑定攻击通常需要经过以下阶段：

（1）攻击者为恶意域名设置一台定制化DNS服务器。

（2）攻击者诱骗受害者访问该域名的某个链接（可通过钓鱼、IM垃圾邮件、XSS或将链接隐藏至恶意站点上的恶意域名中或传输至合法站点上的广告中）。

（3）用户浏览器向该域名的DNS设置提出查询请求。

（4）恶意DNS服务器做出响应，浏览器缓存地址如XX.XX.XX.XX。

（5）由于攻击者已将最初响应中的 DNS TTL 设置配置为一秒种，因此一秒之后，用户的浏览器会向同一个域名提出另外一个 DNS 请求，因为之前的 IP 地址已过期，恶意域名需要一个新 IP 地址。

（6）攻击者的恶意 DNS 设置以恶意 IP 地址如 YY.YY.YY.YY 做出响应，通常是为设备的私有网络内的域名做出响应。

（7） 攻击者一再使用这个恶意 DNS 服务器访问私有网络中越来越多的 IP 地址以实现多种目的（数据收集、触发恶意动作等）。

几乎所有物联网设备易受攻击

Armis 公司表示，物联网设备及其它智能设备是攻击者实施 DNS 重新绑定攻击的完美对象，主要是因为它们在企业网中分布广泛，在侦察和数据窃取方面发挥重要作用。

安全专家表示，调查后发现几乎所有类型的智能设备均易受 DNS 重新绑定攻击，包括智能电视、路由器、打印机、监控摄像头、IP 电话、智能助手等等。专家认为易受攻击的设备数量有数亿台，大约为5亿台。

大规模修复不可行

修复所有设备中的 DNS 重新绑定攻击漏洞可能是永远无法完成的艰巨任务，它要求供应商提供补丁，而这些补丁无法解决严重程度相对较轻的 XSS、CSRF 等漏洞，更不用说 DNS 重新绑定攻击了。

但 Armis 专家表示，比起查找并审计新设备以替代老旧设备的方法而言，将物联网设备集成至当前的网络安全监控产品可能是最容易也最合算的解决方案。

由于在过去一年中，物联网安全的问题众所周知，因此网络安全市场已做出反应和调整，现在很多公司都提供专门平台为有需求的企业监控物联网设备的安全性。例如，最近俄罗斯 PIR 银行因使用老旧路由器遭黑客窃取100万美元。

现在早已不是21世纪头十年的时候了，任何值得尊敬的公司必须更新物联网设备的威胁模型，不管这些设备是否易受 DNS 重新绑定或其它类型的攻击。

https://www.bleepingcomputer.com/news/security/half-a-billion-iot-devices-vulnerable-to-dns-rebinding-attacks/