7月20日,物联网(IoT)安全供应商Armis发布研究报告,称约4.96亿企业设备面临DNS重绑定攻击风险。
Armis在6月份发布的研究揭示消费级设备易遭DNS重绑定攻击。7月,Armis对企业级设备展开调查,探索该老牌攻击方法是否对企业设备安全造成威胁。DNS重绑定攻击可令攻击者通过操纵DNS(域名服务)工作机制获得局域网访问权。
因为企业设备大多位于内部网络,且有层层防火墙保护,公司企业往往会认为自身设备不受脆弱HTTP服务器的影响。但实际上,DNS重绑定可以绕过防火墙,利用内网上的某台机器作为代理,入侵内部设备。
Armis是一家网络安全供应商,在2017年6月推出了其IoT安全平台,提供IoT设备可见性及安全控制。该公司的研究团队曾披露过其他IoT风险,包括2017年9月曝光的BlueBorne蓝牙漏洞集。
Armis发现,约有77%的企业网络电话和66%的公司打印机面临DNS重绑定潜在风险。另外,87%的交换机、路由器和无线访问节点也面临同样的风险。Armis并未直接扫描全网以确定到底有多少设备易受DNS重绑定攻击,而是扫描了其客户再用行业统计方法来推测受影响的设备总数。
DNS重绑定攻击的原理
DNS重绑定中,本地私有IP地址会被攻击者暴露出来,连上公网地址,让攻击者可以访问企业本未公开的资产和资源。
攻击者甚至不必在企业内网上拥有一台肉鸡。
基本上,攻击者就是创建一台本地恶意DNS服务器,然后通过网络钓鱼或其他攻击方法诱骗受害者去访问那台DNS服务器就行了。攻击者可将受害者的Web浏览器作为代理,连接网络中其他设备。而一旦能够访问本不应暴露在公网的设备,攻击者就能进一步发现其他潜在脆弱资产并加以入侵。
怎样防御DNS重绑定
有多种途径可以限制DNS重绑定攻击的风险。
首先,设备制造商应强化任何可访问服务器的安全水平。服务器位于内网不是放松安全的理由。
其次,公司企业应确保所有设备都全面而及时地打上补丁,即便设备仅在内网使用。有些企业可能会有一种错误认知,觉得不放到公网上的设备就不用打补丁。这种想法相当危险。
另外,可以使用DNS安全代理或第三方DNS服务来辅助防御DNS重绑定攻击。不过,这一选项并不总是适用。出于性能或管理上的考虑,很多企业更倾向于只采用自有本地DNS服务器,尽管在DNS重绑定攻击问题上,采用自有DNS服务器的风险甚至比依赖第三方的普通消费者还高。
报告原文:
https://www.armis.com/dns-rebinding-exposes-half-a-billion-iot-devices-in-the-enterprise/
相关阅读
2017全球DNS威胁调查:76%的机构成为DNS攻击受害者
