注意��!DNS高危漏洞威脅全球數(shù)百萬(wàn)物聯(lián)網(wǎng)設(shè)備
近日���,F(xiàn)orescout研究實(shí)驗(yàn)室與JSOF合作�����,披露了一組新的DNS漏洞�,稱為NAME:WRECK。
這些漏洞存在于四個(gè)流行的TCP/IP堆棧中�����,即FreeBSD���、IPnet����、Nucleus NET和NetX����,這些堆棧通常存在于流行的IT軟件和IoT/OT固件中,影響全球數(shù)以百萬(wàn)計(jì)的IoT物聯(lián)網(wǎng)設(shè)備�。
其中,F(xiàn)reeBSD被廣泛用于數(shù)百萬(wàn)個(gè)IT網(wǎng)絡(luò)中的高性能服務(wù)器�,包括Netflix和Yahoo等網(wǎng)絡(luò)巨頭的主要網(wǎng)絡(luò)節(jié)點(diǎn)。同時(shí)�����,類似西門子Nucleus NET這樣的IoT/OT固件也已在關(guān)鍵的OT和物聯(lián)網(wǎng)設(shè)備中使用了數(shù)十年之久���。
據(jù)初步評(píng)估�����,WRECK漏洞將影響幾乎所有行業(yè)的組織����,包括政府、企業(yè)�、醫(yī)療、制造和零售業(yè)等�����。
據(jù)悉���,僅美國(guó)就有超過(guò)18萬(wàn)(英國(guó)3.6萬(wàn))臺(tái)設(shè)備受到了影響��。不法分子可以利用這些漏洞使目標(biāo)設(shè)備脫機(jī)��,或者接管控制并執(zhí)行操作��。
Forescout Research Labs研究經(jīng)理Daniel dos Santos指出:“NAME:WRECK是一組重大且影響廣泛的漏洞,可能會(huì)造成大規(guī)模破壞����。全面防護(hù)緩解NAME:WRECK需要修補(bǔ)運(yùn)行易受攻擊的IP堆棧版本的設(shè)備�����,所有運(yùn)行存在漏洞的IP堆棧的設(shè)備都需要安裝最新的修補(bǔ)程序����?��!?/span>
攻擊者可通過(guò)入侵向互聯(lián)網(wǎng)服務(wù)器發(fā)出DNS請(qǐng)求的設(shè)備����,來(lái)獲得企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)(下圖中的步驟1)�。為了獲得初始訪問(wèn)權(quán)限,攻擊者可以通過(guò)利用Nucleus NET一個(gè)RCE漏洞的武器化來(lái)達(dá)成攻擊�����。
利用內(nèi)部和外部目標(biāo)中的NAME:WRECK漏洞實(shí)施攻擊的場(chǎng)景
利用基于DNS的漏洞時(shí)����,攻擊者需要使用惡意數(shù)據(jù)包回復(fù)合法的DNS請(qǐng)求。這可以通過(guò)在請(qǐng)求和回復(fù)路徑中的“中間人”或利用DNS查詢服務(wù)器來(lái)實(shí)現(xiàn)�。例如,攻擊者可以利用易受DNSpooq攻擊的服務(wù)器或轉(zhuǎn)發(fā)器,以及目標(biāo)設(shè)備與DNS服務(wù)器之間的類似漏洞�����,用植入武器化有效載荷的惡意消息進(jìn)行回復(fù)����。
取得初始訪問(wèn)后,攻擊者可以使用受感染的駐足點(diǎn)來(lái)建立內(nèi)部DHCP服務(wù)器�����,并通過(guò)在廣播DHCP請(qǐng)求的�,易受攻擊的內(nèi)部FreeBSD服務(wù)器上執(zhí)行惡意代碼來(lái)進(jìn)行橫向移動(dòng)(步驟2)。
最終�,攻擊者可以使用那些被入侵的內(nèi)部服務(wù)器在目標(biāo)網(wǎng)絡(luò)上駐留,或通過(guò)暴露于互聯(lián)網(wǎng)的IoT物聯(lián)網(wǎng)設(shè)備竊取數(shù)據(jù)(步驟3)�。
攻擊者可以利用最新的DNS高危漏洞實(shí)施如下破壞:
暴露政府或企業(yè)服務(wù)器并訪問(wèn)其敏感數(shù)據(jù)(例如財(cái)務(wù)記錄����、知識(shí)產(chǎn)權(quán)或員工/客戶信息)
連接到醫(yī)療設(shè)備獲取醫(yī)療保健數(shù)據(jù),讓設(shè)備脫機(jī)并中斷醫(yī)療服務(wù)�����,從而危及醫(yī)院的運(yùn)營(yíng)和患者的生命
訪問(wèn)工廠/工控網(wǎng)絡(luò)���,篡改生產(chǎn)線來(lái)破壞生產(chǎn)
關(guān)閉連接到樓宇自動(dòng)化控制器的燈�����,導(dǎo)致零售業(yè)務(wù)中斷
攻擊者還可能利用住宅和商業(yè)空間(包括大型連鎖酒店)的重要建筑功能來(lái)危害居民的安全�。這可能包括:
篡改供暖���、通風(fēng)和空調(diào)系統(tǒng)
禁用重要的安全系統(tǒng)��、例如警報(bào)器和門鎖
關(guān)閉自動(dòng)照明系統(tǒng)
安全專家警告說(shuō):除非采取緊急行動(dòng)來(lái)充分保護(hù)網(wǎng)絡(luò)及聯(lián)網(wǎng)設(shè)備�,否則NAME:WRECK漏洞的野外利用只是時(shí)間問(wèn)題��,有可能導(dǎo)致主要的政府?dāng)?shù)據(jù)被黑客入侵泄漏���,制造業(yè)生產(chǎn)中斷或危及服務(wù)業(yè)客人的安全�����。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
