摘要: 以色列安全咨询企业 JSOF 在最新报告中披露了七个 Dnsmasq 漏洞(统称 DNSpooq),并指出攻击者借此感染了数以百万计的设备。据悉,Dnsmasq 是一套流行的开源 DNS 转发软件,能够为运行该软件的网络设备添加 DNS 缓存和 DHCP 服务...
以色列安全咨询企业 JSOF 在最新报告中披露了七个 Dnsmasq 漏洞(统称 DNSpooq),并指出攻击者借此感染了数以百万计的设备。据悉,Dnsmasq 是一套流行的开源 DNS 转发软件,能够为运行该软件的网络设备添加 DNS 缓存和 DHCP 服务器功能。受 DNSpooq 影响的设备不仅遭遇 DNS 缓存中毒,还可被用于远程代码执行、以及拒绝服务(DoS)攻击。
Bleeping Computer 报道称,目前尚不清楚详细的缺陷软件版本和受影响企业的完整名单,不过 JSOF 还是在报告中重点指出了 40 家供应商,包括 Android / Google、康卡斯特、思科、红帽、Netgear、高通、Linksys、IBM、D-Link、戴尔、华为、以及 Ubiquiti 。
其中 CVE-2020-25686、CVE-2020-25684 和 CVE-2020-25685 这三个漏洞,可能导致 DNS 服务遭遇两种缓存中毒攻击(或称 DNS 欺骗)。
得逞之后,攻击者可选择替换设备上的合法 DNS 记录,然后将用户重定向至受其控制的恶意服务器。
让受害者经历网络钓鱼攻击而不自知、散布被受害者误认为是受信任的恶意软件,进而被窃取登录凭证等敏感信息。
早在 2008 年,安全研究员 Dan Kaminsky 就分享了首个 DNS 欺骗攻击的概念演示,证明了可利用 DNS 软件来窃取数据、以及假冒任何网站名称。
JSOF 的报告解释称:包括互联网浏览、电子邮件、SSH、远程桌面、RDP 视频 / 语音呼叫、软件更新等在内的常见流量,都可能受到 DNSpooq 的威胁。
此外假想的攻击场景还包括基于 JavaScript 的分布式决绝服务(DDoS)攻击、反向 DDoS、以及针对定期切换网络的移动设备的蠕虫攻击。
另外四个缺陷为 CVE-2020-25687、CVE-2020-25683、CVE-2020-25682 和 CVE-2020-25681 的缓冲区溢出漏洞。在配置 了 Dnsmasq 的易受攻击的网络设备上,黑客或可利用 DNSSEC 远程执行任意代码。
更糟糕的是,DNSpooq 安全漏洞攻击非常容易实现,且不需要借助任何非常规的技术或工具。JSOF 在技术白皮书中披露,攻击者甚至可在几分钟、甚至几秒内顺利得逞。
此外 JSOF 发现,许多 dnsmasq 实例存在着配置错误,导致无法在 WAN 端口侦听,进而可让黑客直接从互联网端发起攻击。
最后,据 Shodan 所述,目前互联网上有超过 100 万的 Dnsmasq 公开服务器。
此外 BinaryEdge 指出,有 63 万台服务器、数百万路由器、虚拟专用网、智能机、平板电脑、信息娱乐系统、调制解调器、接入点、无人机等设备,也极易受到互联网攻击。
稿源:cnBeta.com