Forescout研究實驗室與JSOF合作,披露了一組新的DNS漏洞,稱為NAME:WRECK。
DNS漏洞
這些漏洞影響了四個流行的TCP / IP堆棧,即FreeBSD,IPnet,Nucleus NET和NetX,它們通常存在於著名的IT軟件和流行的IoT / OT固件中,並且有可能影響全球數百萬個IoT設備。
FreeBSD用於數百萬個IT網絡中的高性能服務器,包括Netflix和Yahoo等主要的網絡目的地。同時,諸如西門子Nucleus NET之類的IoT / OT固件已在關鍵的OT和IoT設備中使用了數十年。
NAME:WRECK漏洞可能影響所有部門的組織,包括政府,企業,醫療保健,製造和零售
據信,美國超過180,000台設備和英國超過36,000台設備受到了影響。如果被利用,不良行為者可以使用它們使目標設備脫機或控制其操作。
“ NAME:WRECK是一組重大且廣泛的漏洞,可能會造成大規模破壞,” Forescout Research Labs研究經理Daniel dos Santos解釋說。“針對NAME:WRECK的全面保護要求修補運行IP堆棧易受攻擊版本的設備,因此我們鼓勵所有組織確保它們在這些受影響的IP堆棧中運行的任何設備都具有最新的修補程序。”
攻擊場景
在這種情況下,攻擊者通過破壞向Internet上的服務器發出DNS請求的設備,來獲得對組織網絡的初始訪問(圖中的步驟1)。為了獲得初始訪問權限,攻擊者可以利用影響Nucleus NET的RCE之一。妥協可以發生,例如,通過將剝削武器化。
DNS漏洞
利用內部和外部目標上的NAME:WRECK漏洞進行攻擊的情形
關於基於DNS的漏洞的警告是,它們要求攻擊者使用惡意數據包回複合法的DNS請求。這可以通過請求和答復之間路徑中的中間人或利用查詢的DNS服務器來實現。例如,可以利用易受DNSpooq攻擊的服務器或轉發器以及目標設備與更具權威性的DNS服務器之間的類似漏洞,利用帶有武器化有效載荷的惡意消息進行回复。
初始訪問後,攻擊者可以使用受感染的入口點來建立內部DHCP服務器,並通過在傳播DHCP請求的易受攻擊的內部FreeBSD服務器上執行惡意代碼來進行橫向移動(步驟2)。
最後,攻擊者可以使用那些內部受損的服務器在目標網絡上保留或通過暴露於Internet的IoT設備竊取數據(步驟3)。
攻擊者可以做什麼
不良行為者可以做什麼的一些假設但完全合理的場景包括:
通過訪問敏感數據(例如財務記錄,知識產權或員工/客戶信息)公開政府或企業服務器
通過連接到醫療設備獲取醫療保健數據,使它們脫機並阻止醫療保健提供服務,從而危及醫院
通過訪問工廠/工廠網絡以篡改生產線來影響製造
通過關閉連接到其樓宇自動化控制器的燈來關閉零售商
不良行為者還可能利用住宅和商業空間(包括大型連鎖酒店)的重要建築功能,以危害居民的安全。這可能包括:
篡改供暖,通風和空調系統
禁用重要的安全系統,例如警報器和門鎖
關閉自動照明系統 |
|
