DNS重绑定漏洞致5亿企业设备暴露

防不住了吗，关注奇速盾

近期，包括暴雪、uTorrent、谷歌等多家产品曝出关于DNS重绑定漏洞的消息，此种攻击方式起源于十多年前，并且经过调查后发现，几乎所有的智能设备都会受到该漏洞的影响，初步估计影响设备数量约为5亿台。

并且由于XSS、CSRF等漏洞存在众多的安全问题，所以针对DNS漏洞对设备进行修补是“永远无法完成”的巨大任务。

DNS重绑定攻击的原理

DNS重绑定中，本地私有IP地址会被攻击者暴露出来，连上公网地址，让攻击者可以访问企业本未公开的资产和资源。

攻击者甚至不必在企业内网上拥有一台肉鸡。

基本上，攻击者就是创建一台本地恶意DNS服务器，然后通过网络钓鱼或其他攻击方法诱骗受害者去访问那台DNS服务器就行了。

攻击者可将受害者的Web浏览器作为代理，连接网络中其他设备。而一旦能够访问本不应暴露在公网的设备，攻击者就能进一步发现其他潜在脆弱资产并加以入侵。

几乎所有物联网设备易受攻击

物联网设备及其它智能设备是攻击者实施 DNS 重新绑定攻击的完美对象，主要是因为它们在企业网中分布广泛，在侦察和数据窃取方面发挥重要作用。

安全专家表示，调查后发现几乎所有类型的智能设备均易受 DNS 重新绑定攻击，包括智能电视、路由器、打印机、监控摄像头、IP 电话、智能助手等等。专家认为易受攻击的设备数量有数亿台，大约为5亿台。

大规模修复不可行

修复所有设备中的 DNS 重新绑定攻击漏洞可能是永远无法完成的艰巨任务，它要求供应商提供补丁，而这些补丁无法解决严重程度相对较轻的 XSS、CSRF 等漏洞，更不用说 DNS 重新绑定攻击了。

安全专家表示，比起查找并审计新设备以替代老旧设备的方法而言，将物联网设备集成至当前的网络安全监控产品可能是最容易也最合算的解决方案。

由于在过去一年中，物联网安全的问题众所周知，因此网络安全市场已做出反应和调整，现在很多公司都提供专门平台为有需求的企业监控物联网设备的安全性。例如，最近俄罗斯PIR银行因使用老旧路由器遭黑客窃取100万美元。

现在早已不是21世纪头十年的时候了，任何值得尊敬的公司必须更新物联网设备的威胁模型，不管这些设备是否易受 DNS 重新绑定或其它类型的攻击。

怎样防御DNS重绑定

有多种途径可以限制DNS重绑定攻击的风险。

首先，设备制造商应强化任何可访问服务器的安全水平。服务器位于内网不是放松安全的理由。

其次，公司企业应确保所有设备都全面而及时地打上补丁，即便设备仅在内网使用。有些企业可能会有一种错误认知，觉得不放到公网上的设备就不用打补丁。这种想法相当危险。

——超级科技

QSY

· 技术大牛都在这里 ·

Hi，我是奇速盾

从现在开始

我的每一句话都是认真的

如果，你被攻击了

别打110、119、120

来这里看着就行