已经找到了一组漏洞,以许多流行的TCP / IP堆栈处理DNS请求。可能这可能会影响数百万台服务器,智能设备和工业设备。发现漏洞的研究人员已经命名为它们名称:沉船

多种漏洞?

是的,研究人员发现了9个与DNS相关的漏洞有可能允许攻击者离线拍摄目标设备或控制它们的控制。这些漏洞影响4流行的TCP / IP堆栈:FreeBSD,IPNet,Nucleus Net和Netx。它们一起使用超过1亿设备。由于弱势DNS客户端通常暴露于互联网,因此创造了一个巨大的攻击表面。

一些背景

域名系统(DNS)是一种互联网协议,可翻译用户友好,可读的URL,如必威平台APPmalwarebytes.com.,到他们的数字IP地址,就像52.85.104.30,允许计算机识别服务器而不需要要记住并输入其实际IP地址的服务器。基本上,你可以说DNS是互联网的电话簿。DNS名称解析是一个复杂的过程,可以在许多级别中受到干扰。

虽然最终用户从未可见,但TCP / IP堆栈是供应商添加到其固件以支持Internet连接以及其他网络功能的库,如DNS查询。这些库非常小,但在大多数情况下,支持设备的最基本功能,此处的任何漏洞都将用户公开到远程攻击。

受名称影响的设备和组织:危机

FreeBSD广泛用于防火墙和几家商业网络电器。它也是其他知名开源项目的基础。运行FreeBSD的最常见的设备类型包括计算机,打印机和网络设备。

IPNET倾向于由位于组织网络周边的互联网的企业设备使用,例如调制解调器,路由器,防火墙和打印机以及一些工业和医疗设备。

Nucleus RTOS网站提到,超过3亿台设备使用该实时操作系统,例如超声波机器,存储系统,航空电子设备和其他人的关键系统,尽管可能是其中许多都没有互联网连接。

Netx通常由Threadx实时操作系统(RTOS)运行。典型应用包括医疗设备,芯片系统和多个打印机型号。运行Threadx的最常见的设备类型包括工业控制系统(ICS)中的打印机,智能时钟和能量和电力设备。

您是否注意到它是如何结果,垂直于这些漏洞的恐惧是一个已经受到严重压力的部门,并已被网络攻击积极针对?这医疗保健部门确实是这些漏洞影响的最大3个,与政府一起。

开发

对于使用这些漏洞的攻击者,他们必须找到一种方法来发送恶意数据包以回复合法的DNS请求。因此,攻击者将不得不运行中间人攻击或能够使用现有的漏洞dnspooq.在目标设备和DNS服务器之间拉出此操作。

减轻

完全保护姓名:WRECK需要修补运行这些IP堆栈的易受攻击版本的设备。最近FreeBSD,Nuture Net和Netx已修补,使用此软件的设备供应商应向客户提供自己的更新。

用户并不总是很容易,以了解它们是否具有最多可用于在这些受影响的IP堆栈中运行的设备的最新补丁。修补设备并不总是容易的,甚至可能。

然而,您可以做一些事情:

  • 制作运行易受攻击堆栈的设备的库存。Forescout研究实验室已发布开源脚本它使用主动指纹识别来检测运行受影响堆栈的设备。
  • 保持与Internet包含或断开连接的未括号设备,直到它们可以被修补或更换。
  • 配置设备可以在可能的情况下依赖内部DNS服务器。
  • 监控尝试利用漏洞的恶意数据包的网络流量。
  • 在可用后尽快应用补丁。

对于那些对完整技术详细信息感兴趣的人,可以提供完整的报告这里并将出现在黑色帽子亚洲2021

保持安全,每个人!