主页 > 行业动态 > 以色列JSOF报告:攻击者利用DNSpooq漏洞劫持数以百万计的设备

以色列JSOF报告:攻击者利用DNSpooq漏洞劫持数以百万计的设备

时间 : 2021-01-21

        以色列安全咨询企业 JSOF 在最新报告中披露了七个 Dnsmasq 漏洞(统称 DNSpooq),并指出攻击者借此感染了数以百万计的设备。据悉,Dnsmasq 是一套流行的开源 DNS 转发软件,能够为运行该软件的网络设备添加 DNS 缓存和 DHCP 服务器功能。受 DNSpooq 影响的设备不仅遭遇 DNS 缓存中毒,还可被用于远程代码执行、以及拒绝服务(DoS)攻击。

e78eeb0e-eb83-4fb3-840c-865509d19bc2.png

        Bleeping Computer 报道称,目前尚不清楚详细的缺陷软件版本和受影响企业的完整名单,不过 JSOF 还是在报告中重点指出了 40 家供应商,包括 Android / Google、康卡斯特、思科、红帽、Netgear、高通、Linksys、IBM、D-Link、戴尔、华为、以及 Ubiquiti 。


        其中 CVE-2020-25686、CVE-2020-25684 和 CVE-2020-25685 这三个漏洞,可能导致 DNS 服务遭遇两种缓存中毒攻击(或称 DNS 欺骗)。

        得逞之后,攻击者可选择替换设备上的合法 DNS 记录,然后将用户重定向至受其控制的恶意服务器。

        让受害者经历网络钓鱼攻击而不自知、散布被受害者误认为是受信任的恶意软件,进而被窃取登录凭证等敏感信息。


        早在 2008 年,安全研究员 Dan Kaminsky 就分享了首个 DNS 欺骗攻击的概念演示,证明了可利用 DNS 软件来窃取数据、以及假冒任何网站名称。


        JSOF 的报告解释称:包括互联网浏览、电子邮件、SSH、远程桌面、RDP 视频 / 语音呼叫、软件更新等在内的常见流量,都可能受到 DNSpooq 的威胁。

        此外假想的攻击场景还包括基于 JavaScript 的分布式决绝服务(DDoS)攻击、反向 DDoS、以及针对定期切换网络的移动设备的蠕虫攻击。


        另外四个缺陷为 CVE-2020-25687、CVE-2020-25683、CVE-2020-25682 和 CVE-2020-25681 的缓冲区溢出漏洞。在配置 了 Dnsmasq 的易受攻击的网络设备上,黑客或可利用 DNSSEC 远程执行任意代码。


        更糟糕的是,DNSpooq 安全漏洞攻击非常容易实现,且不需要借助任何非常规的技术或工具。JSOF 在技术白皮书中披露,攻击者甚至可在几分钟、甚至几秒内顺利得逞。

        此外 JSOF 发现,许多 dnsmasq 实例存在着配置错误,导致无法在 WAN 端口侦听,进而可让黑客直接从互联网端发起攻击。


        最后,据 Shodan 所述,目前互联网上有超过 100 万的 Dnsmasq 公开服务器。

        此外 BinaryEdge 指出,有 63 万台服务器、数百万路由器、虚拟专用网、智能机、平板电脑、信息娱乐系统、调制解调器、接入点、无人机等设备,也极易受到互联网攻击。


上一篇 下一篇