Комплексная атака DNSrebinding позволяет производить подробную разведку сетевых ресурсов. Большинство устройств «интернета вещей в мире» были и останутся беззащитными перед ней.

Полмиллиарда точек входа
Полмиллиарда устройств интернета вещей в мире оказались уязвимы перед старой компьютерной атакой, известной как DNS rebinding («перепривязывание DNS»), утверждают эксперты по информационной безопасности компании Armis.
DNS rebinding — это форма компьютерной атаки на веб-сервисы, при которой вредоносная веб-страница заставляет браузер посетителя запустить скрипт, обращающийся к другим сайтам и сервисам. «Перепривязывание DNS» часто используется для компрометации устройств и дальнейшего их использования в качестве «точки ретрансляции» внутри локальной сети, интересующей злоумышленника.

Как это технически происходит
Типичная атака подобного рода выполняется в несколько стадий. Первая из них заключается в том, что злоумышленник настраивает DNS-сервер для вредоносного домена. Вторая — он обманом заставляет жертву перейти по ссылке на этот вредоносный домен — через фишинг, спам мессенджеры, кросс-сайтовый скриптинг или внедрив вредоносную ссылку в рекламный баннер, размещаемый на легитимных страницах. Третья — браузер жертвы запрашивает настройки DNS для этого домена.

Далее вредоносный DNS-сервер отправляет данные, и браузер кэширует некий адрес формы XX.XX.XX.XX. Затем злоумышленник настраивает значения TTL для DNS-сервера так, что при изначальном запросе оно составляет одну секунду. Поэтому через секунду браузер отправляет новый DNS-запрос к тому же домену, поскольку ему требуется уже новый IP-адрес для вредоносного домена.
Следующий этап — DNS-сервер злоумышленника отправляет новый IP-адрес. Причем как правило это адрес домена внутри частной сети, к которой относится устройство интернета вещей. Заключительный шаг — злоумышленник многократно использует DNS-сервер для того, чтобы получить доступ ко все большему количеству IP-адресов внутри целевой сети, с самыми разными целями, например, для сбора данных, установки вредоносного ПО и т. д.
Стоит отметить, что атаки DNSrebindingизвестны уже около десяти лет. И тем не менее, степень защищенности от них остается удручающе низкой: как выяснили эксперты Armis, устройства интернета вещей, уязвимые перед этой атакой, составляют абсолютное большинство. Исследователи приводят следующие цифры: 87% всех маршрутизаторов (роутеров, свитчей, точек доступа), 78% стриминговых плееров/колонок, 77% IP-телефонов, 75% IP-камер, 66% сетевых принтеров, 57% smart-телевизоров.

Идеальный трамплин
Эксперты считают, что техника из интернета вещей и прочие smart-устройства представляют собой почти идеальную мишень для описанных атак: в любой корпоративной сети их много, следовательно, злоумышленник может использовать их для весьма подробной разведки локальных ресурсов.
«Основная проблема с IoT-устройствами заключается в их крайне плохой защищенности даже от базовых атак, не говоря уж о таких сложных, как DNS rebinding, — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — При этом ожидать массового исправления их уязвимостей или столь же массовой замены на более новые и более защищенные варианты не приходится. Есть две вещи, которые могут и должны сделать системные администраторы в этой ситуации: во-первых, обеспечить этим устройствам адекватную настройку, без сохранения "заводских" паролей, во-вторых, по возможности обзавестись специализированными платформами для мониторинга IoT-устройств — сейчас таких на рынке появляется все больше».

Источник: cnews.ru