宋明成

網絡安全公司Aemis在2017年發(fā)現藍牙協議漏洞“BlueBorne”之后，于近日再次發(fā)出警告，稱大約五億的智能設備如今仍受DNS重綁定這種老式攻擊的影響。

受近期關于暴雪APP、uTorrent、Google Home、Roku TV以及Sonos設備中DNS重綁定漏洞報道的影響，Aemis公司最近分析了此類攻擊對物聯網設備的影響。什么是DNS重綁定攻擊呢？

DNS重綁定攻擊是指攻擊者欺騙用戶的設備或瀏覽器來綁定到一個惡意的DNS服務器，從而使設備訪問非預期的域名。DNS重綁定攻擊通常用于入侵設備，然后將其作為中繼設備訪問內部網絡。一個典型的DNS重綁定攻擊會經歷如下階段：

1.攻擊者為惡意域名搭建自定義DNS服務器；

2.攻擊者通過網絡釣魚、垃圾郵件、XSS或者是合法網站上的廣告鏈接欺騙受害者訪問惡意域名；

3.用戶瀏覽器會查詢該域名的DNS設置；

4.惡意DNS服務器響應，之后瀏覽器將緩存類似于XX. XX.XX.XX這樣的地址；

5.由于攻擊者將初始響應中的DNS TTL設置為1 s，1 s后用戶瀏覽器會對同一個域名發(fā)出另一個DNS請求，因為之前的入口已經過期，所以惡意域名需要一個新的IP地址；

6.攻擊者的惡意DNS設置會響應一個惡意IP地址，如YY.YY.YY.YY，該地址通常為設備的內部網絡地址。

7.攻擊者為了各種目的（數據收集、發(fā)起惡意攻擊等）反復使用惡意DNS服務器訪問內部網絡的更多IP地址。

Armis公司表示，物聯網以及其他智能設備正是攻擊者通過DNS重綁定漏洞進行攻擊的完美目標，主要由于其在企業(yè)網絡中分布較廣，在情報收集和數據竊取方面可以發(fā)揮驚人的作用。

有專家稱，經過調查他們發(fā)現幾乎所有類型的智能設備都容易受到DNS重綁定攻擊的影響，從智能電視到路由器，從打印機到監(jiān)控攝像頭，從手機到智能助手……

總而言之，據估計存在漏洞的設備數量當以億計，估計量約為五億。

然而針對DNS重綁定攻擊來修補這些設備的漏洞幾乎是一項永遠無法完成的大任務，來自供應商的這些補丁首先需要解決XSS和CSRF這些瑣碎漏洞，所以更不用說DNS重綁定這類復雜攻擊。但Armis公司的專家表示，相比于查看和審核新設備以取代舊設備，將物聯網設備集成到當前的網絡安全監(jiān)控產品中可能是最簡單且最具成本效益的解決方案。

由于物聯網安全在過去一年中一直是一個熱門的話題，因此網絡安全市場已經做出反應和調整，現在有許多網絡安全公司正在為想要避免意外的企業(yè)提供監(jiān)控物聯網設備的專用平臺。（會有什么意外？例如，最近俄羅斯PIR銀行發(fā)現黑客通過老舊路由器而入侵了網絡，之后偷走了100萬美元。）

總之，現在已經不再是2000年了，無論什么公司都必須更新其威脅模型以考慮物聯網設備的安全性，無論它們是否易受DNS重綁定攻擊或任何其他缺陷的影響。