7月20日,物聯網(IoT)安全供應商Armis發佈研究報告,稱約4.96億企業設備面臨DNS重綁定攻擊風險。
Armis在6月份發佈的研究揭示消費級設備易遭DNS重綁定攻擊。7月,Armis對企業級設備展開調查,探索該老牌攻擊方法是否對企業設備安全造成威脅。DNS重綁定攻擊可令攻擊者通過操縱DNS(域名服務)工作機制獲得局域網訪問權。
因為企業設備大多位於內部網絡,且有層層防火牆保護,公司企業往往會認為自身設備不受脆弱HTTP服務器的影響。但實際上,DNS重綁定可以繞過防火牆,利用內網上的某臺機器作為代理,入侵內部設備。
Armis是一家網絡安全供應商,在2017年6月推出了其IoT安全平臺,提供IoT設備可見性及安全控制。該公司的研究團隊曾披露過其他IoT風險,包括2017年9月曝光的BlueBorne藍牙漏洞集。
Armis發現,約有77%的企業網絡電話和66%的公司打印機面臨DNS重綁定潛在風險。另外,87%的交換機、路由器和無線訪問節點也面臨同樣的風險。Armis並未直接掃描全網以確定到底有多少設備易受DNS重綁定攻擊,而是掃描了其客戶再用行業統計方法來推測受影響的設備總數。
DNS重綁定攻擊的原理
DNS重綁定中,本地私有IP地址會被攻擊者暴露出來,連上公網地址,讓攻擊者可以訪問企業本未公開的資產和資源。
攻擊者甚至不必在企業內網上擁有一臺肉雞。
基本上,攻擊者就是創建一臺本地惡意DNS服務器,然後通過網絡釣魚或其他攻擊方法誘騙受害者去訪問那臺DNS服務器就行了。攻擊者可將受害者的Web瀏覽器作為代理,連接網絡中其他設備。而一旦能夠訪問本不應暴露在公網的設備,攻擊者就能進一步發現其他潛在脆弱資產並加以入侵。
怎樣防禦DNS重綁定
有多種途徑可以限制DNS重綁定攻擊的風險。
首先,設備製造商應強化任何可訪問服務器的安全水平。服務器位於內網不是放鬆安全的理由。
其次,公司企業應確保所有設備都全面而及時地打上補丁,即便設備僅在內網使用。有些企業可能會有一種錯誤認知,覺得不放到公網上的設備就不用打補丁。這種想法相當危險。
另外,可以使用DNS安全代理或第三方DNS服務來輔助防禦DNS重綁定攻擊。不過,這一選項並不總是適用。出於性能或管理上的考慮,很多企業更傾向於只採用自有本地DNS服務器,儘管在DNS重綁定攻擊問題上,採用自有DNS服務器的風險甚至比依賴第三方的普通消費者還高。
閱讀更多 安全牛 的文章
