致力于消除IoT安全盲点的Armis上周指出,估计有4.96亿的IoT设备曝露在DNS重新绑定( DNS rebinding)的攻击风险中,包含打印机、监控摄影机(IP Camera)、IP电话、智能电视、网络设备,以及媒体串流设备等,由于某些设备于企业中广泛使用,因此几乎所有的企业都潜藏DNS重新绑定风险。
DNS重新绑定主要利用了浏览器的安全漏洞,允许远程黑客绕过受害者的防火墙,并以浏览器作为与内部网络通信的媒介。
黑客要执行DNS重新绑定攻击通常是先替恶意网域设置一个定制化的DNS服务器,诱导用户访问恶意网域之后,浏览器就会请求该网域的DNS设置,该DNS服务器先回复一个存活期(TTL)极短的IP地址,使得浏览器必须再重新提出DNS请求,但这次回复的却是恶意的IP地址,只是浏览器仍旧以为自己所访问的是同样的网域,而形成DNS重新绑定。
之后黑客就能以浏览器作为跳板,访问与浏览器同一网域中的IoT设备,包含访问IoT设备的信息,或是发送命令给IoT设备,之后就能创建IoT设备与黑客C&C服务器之间的通信渠道。
导致黑客能掌控IoT设备的原因之一为设备制造商通常假设同一网络中的其它设备是可靠的,因此这些IoT设备的默认值都是采用未加密的HTTP服务,同时信赖由浏览器所送出的恶意命令。例如企业内部的打印机通常采用默认配置,而成为DNS绑架攻击的理想目标,一旦被黑,黑客就能下载打印机曾扫描、存储或缓存的文件。
Armis估计有87%的交换机、路由器或AP,78%的串流媒体设备,77%的IP电话,75%的监控摄影机,66%的打印机或是57%的智能电视都曝露在DNS重新绑定的安全风险中,建议企业应清查及检测内部所有的IoT设备,进行IoT设备的风险评估,关闭诸如UPnP等不需要的服务,变更每个IoT设备的HTTP伺服密码,以及定期更新软件等。