近日,ForescoutResearchLabs与JSOF合作,披露了一组名为NAME:WRECK的新DNS漏洞。这些漏洞存在于四种流行的TCP/IP堆栈中,即FreeBSD、IPnet、NucleusNET和NetX,它们常见于流行的IT软件和IoT/OT固件中,影响了全球数百万物联网。联网设备。其中,FreeBSD被广泛应用于数以百万计的IT网络中的高性能服务器,包括Netflix、雅虎等网络巨头的主要网络节点。与此同时,像SiemensNucleusNET这样的IoT/OT固件已经在关键的OT和IoT设备中使用了几十年。根据初步评估,WRECK漏洞将影响几乎所有行业的组织,包括政府、企业、医疗、制造和零售行业。仅在美国就有超过180,000台(英国为36,000台)设备受到影响。犯罪分子可以利用这些漏洞使目标设备脱机,或接管控制权并采取行动。ForescoutResearchLabs的研究经理DanieldosSantos指出:“NAME:WRECK是一组重要且范围广泛的漏洞,可能会造成巨大破坏。要全面保护NAME:WRECK的缓解措施需要修补运行易受攻击版本的设备IP栈,所有运行易受攻击的IP栈的设备都需要安装最新的补丁。”1.攻击场景攻击者可以通过破坏向Internet服务器发出DNS请求的设备来获得对公司网络的初始访问权限(下图中的步骤1))。为了获得初始访问权限,攻击者可以利用NucleusNET中RCE漏洞的武器化。使用NAME:WRECK漏洞在内部和外部目标中的攻击场景在利用基于DNS的漏洞时,攻击者需要使用恶意数据包回复合法的DNS请求。这可以通过请求和回复路径中的“中间人”或利用DNS查询服务器来完成。例如,攻击者可以利用易受DNSpooq攻击的服务器或转发器,以及目标设备和DNS服务器之间的类似漏洞,通过植入武器化负载的恶意消息进行回复。获得初始访问权限后,攻击者可以利用被攻破的立足点建立内部DHCP服务器,并通过在易受攻击的内部FreeBSD服务器上执行恶意代码广播DHCP请求来进行横向移动(步骤2)。最终,攻击者可以使用这些受损的内部服务器驻留在目标网络上或通过暴露在互联网上的物联网设备窃取数据(第3步)。2.攻击者可以做什么?攻击者可以利用最新的DNS高危漏洞进行以下破坏:暴露政府或企业服务器并访问其敏感数据(如财务记录、知识产权或员工/客户信息)连接医疗设备以获得医疗保健数据,使设备脱机并中断医疗服务,从而危及医院运营和患者生命访问工厂/工业控制网络,篡改生产线以中断生产关闭连接到楼宇自动化控制器的灯,导致零售业务中断攻击者还可能损害通过利用住宅和商业空间(包括大型连锁酒店)中的重要建筑功能来确保居民的安全。这可能包括:篡改供暖、通风和空调系统禁用重要的安全系统,例如警报器和门锁关闭自动照明系统安全专家警告说,除非采取紧急行动来充分保护网络和连接的设备,否则名称:WRECK漏洞野外利用只是时间问题,它有可能导致主要政府数据被黑客攻击和泄露,扰乱制造业生产或危及服务行业客人。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
