9

Đó là một năm tương đối yên tĩnh khi nói đến các cuộc tấn công an ninh mạng. Mặc dù đã có rất nhiều cuộc tấn công nhỏ, bao gồm cả những cuộc tấn công mà chúng tôi đã thấy các lỗ hổng bảo mật bị lộ , và chúng tôi đã không thấy sự hồi sinh của các cuộc tấn công ransomware trên phạm vi quốc tế năm ngoái như wannacrynotpetya . Nhưng, tất nhiên - có rất nhiều cuộc tấn công với tất cả mọi thứ, từ một cuộc tấn công vào Thành phố Atlanta đến một cuộc tấn công vào Thế vận hội Mùa đông Pyeongchang . Không có gì đáng ngạc nhiên, IoT vẫn là một điểm đau dai dẳng đối với tất cả mọi thứ về an ninh mạng, nhưng, với một bước ngoặt, việc đảo ngược DNS đã trở lại.

Theo công ty an ninh mạng Armis (người đã phát hiện ra lỗ hổng Blueborne năm 2017), có hơn nửa triệu thiết bị dễ bị tổn thương trên toàn thế giới. Bảo mật IoT cho vay không có ưu đãi mà không có tiêu chuẩn hoặc luật công nghiệp thực sự. Điều này chứng tỏ tại sao người ta đã xác định rằng gần nửa tỷ thiết bị dễ bị tổn thương trên toàn thế giới. Không chỉ có nhiều thiết bị được kết nối có bảo mật cực kỳ tồi tệ, mà việc đảo ngược DNS bỏ qua công nghệ bảo mật truyền thống. Hầu hết các công ty không thể nhìn thấy hoặc giám sát các thiết bị được kết nối và không thể xác định xem chúng có bị xâm phạm hay không. Hơn nữa, vá các thiết bị kết nối là khó khăn ở quy mô.

Armis đã phát hiện ra rằng vấn đề này ảnh hưởng đến hàng trăm triệu IoT và các thiết bị không được quản lý khác được sử dụng trong hầu hết mọi doanh nghiệp. Từ TV thông minh đến máy in, trợ lý kỹ thuật số đến điện thoại IP và hơn thế nữa, việc phơi nhiễm khiến các tổ chức dễ bị xâm phạm, làm mất dữ liệu và cho đến các thiết bị bị tấn công trong một cuộc tấn công giống Mirai khác.

DNS Rebinding là gì?

Phản hồi DNS tận dụng lỗ hổng gần một thập kỷ trong các trình duyệt web cho phép kẻ tấn công từ xa vượt qua tường lửa mạng của nạn nhân và sử dụng trình duyệt web của họ làm proxy để liên lạc trực tiếp với các thiết bị dễ bị tấn công trên mạng cục bộ.

Một ví dụ về một thiết bị dễ bị tấn công là một thiết bị đang chạy một giao thức không được xác thực như Universal Plug and Play (UPnP) hoặc HTTP (được sử dụng trên các máy chủ web không được mã hóa). Các giao thức này thường được sử dụng để lưu trữ bảng điều khiển quản trị (cho bộ định tuyến, máy in, camera IP), cho phép truy cập dễ dàng vào các dịch vụ của thiết bị (ví dụ: phát trực tuyến trình phát video) và có sức lan tỏa trong các doanh nghiệp.

Lỗ hổng ở mọi nơi

Nhóm nghiên cứu của Armis phát hiện ra rằng các doanh nghiệp lớn đặc biệt phải đối mặt với các cuộc tấn công đảo ngược DNS. Chỉ trong tuần này, Cisco Systems đang phát hành các bản cập nhật phần mềm để khắc phục lỗ hổng rủi ro cao trong một số kiểu điện thoại VoIP . Lỗ hổng này có thể cho phép kẻ tấn công từ xa thực hiện lệnh tiêm và thực thi các lệnh với các đặc quyền của máy chủ web. Đây là loại kịch bản có thể được sử dụng thông qua một cuộc tấn công DNS Rebinding.

Tháng trước, Camera an ninh IP (một tên mỉa mai trong trường hợp cụ thể này) đã được xác định trong số những người có nguy cơ cao nhất trong số 10 lỗ hổng được công bố trong máy ảnh của trục  và Foscam .

Máy in - một trong những thiết bị được quản lý kém nhất, cấu hình kém nhất - cũng được xác định trong nghiên cứu của họ. Ngoài việc điều chỉnh các cấu hình mạng cơ bản, các doanh nghiệp thường triển khai các máy in với cài đặt mặc định, khiến chúng trở thành mục tiêu lý tưởng cho cuộc tấn công đảo ngược DNS. Sau khi bị xâm phạm, máy in có thể là một vectơ thông qua đó kẻ tấn công:

  • Thực hiện thông tin bằng cách tải xuống các tài liệu được quét, lưu trữ hoặc lưu trữ trên máy in
  • Tung ra một cuộc tấn công lớn hơn trong doanh nghiệp, tương tự như cách một kẻ tấn công sử dụng một chiếc xe tăng nhiệt cá exfiltrate 10 GB dữ liệu từ một sòng bạc ở Bắc Mỹ đến một máy chủ từ xa ở Phần Lan.

Làm thế nào nó hoạt động

Đối với bất kỳ ai nghĩ rằng các thiết bị IoT an toàn vì chúng nằm sau tường lửa, đây không phải là trường hợp. DNS rebinding thao túng mô hình tin cậy giữa các trình duyệt và thế giới bên ngoài, cho phép kẻ tấn công từ xa thỏa hiệp các thiết bị IoT một cách hiệu quả, giống như kẻ tấn công đã có trên mạng nội bộ. Đây là cách một cuộc tấn công đảo ngược DNS hoạt động:

Bước 1: Tận dụng trình duyệt của người dùng

  1. Người dùng nhấp vào một liên kết (lừa đảo hoặc không) đưa họ đến một trang web độc hại hoặc một trang web có JavaScript độc hại.
  2. JavaScript độc hại chạy trên trình duyệt cục bộ của người dùng. Ví dụ: người dùng truy cập vào một trang web thể thao để có được điểm số World Cup mới nhất được gọi là (giả tưởng) worldcores.com. Trang web này có thể lưu trữ quảng cáo HTML có thể đang chạy JavaScript độc hại; JavaScript này không được xác định là độc hại bởi tường lửa, giải pháp bảo mật mạng hoặc thậm chí là bảo vệ điểm cuối.

Bước 2: Quét mạng cục bộ để phát hiện sự hiện diện của một loại thiết bị cụ thể

  1. Sử dụng DNS rebinding và JavaScript, trang web độc hại ra lệnh cho trình duyệt người dùng cuối quét địa chỉ IP cục bộ.
  2. Sau đó, trình duyệt gửi kết quả trở lại trang web độc hại.


Một lần nữa, vì tất cả các hoạt động này dường như là giao tiếp của người dùng cuối bình thường từ góc độ của tường lửa, nên nó không chặn bất kỳ lưu lượng nào.

Điều quan trọng cần lưu ý là các bước 1 và 2 diễn ra ngay khi người dùng vào trang web lưu trữ JavaScript độc hại. Và, trong thời gian đó, kẻ tấn công có hiệu quả trong mạng công ty.

Bước 3: Truy cập thiết bị IoT

  1. Trang web độc hại gửi một bộ lệnh thích hợp đến trình duyệt của người dùng cuối, ví dụ: các lệnh để đăng nhập vào máy chủ web HTTP của camera an ninh trên mạng nội bộ.
  2. Sử dụng tính năng đảo ngược DNS, trình duyệt sẽ gửi các lệnh đó trực tiếp đến địa chỉ IP của thiết bị IoT bên trong mạng riêng.


Lệnh mà trình duyệt gửi có thể điều khiển thiết bị IoT, thỏa hiệp thiết bị hoặc trích xuất thông tin như số nhận dạng duy nhất và SSID điểm truy cập Wi-Fi. Vì tất cả lưu lượng truy cập này nằm giữa trình duyệt trên máy tính xách tay hoặc máy tính để bàn của người dùng cuối và thiết bị IoT, tường lửa không bao giờ nhìn thấy lưu lượng này và do đó, nó không thể chặn bất kỳ lưu lượng nào.

Các nhà sản xuất thiết bị IoT thường cho rằng các thiết bị khác trên cùng một mạng được tin cậy. Do đó, các thiết bị vận chuyển với các dịch vụ mở, không được mã hóa, như HTTP và tin tưởng vào các lệnh độc hại được thực thi bởi trình duyệt của người dùng cuối cục bộ trong giai đoạn tấn công này.

Bước 4: Thiết lập kết nối ra ngoài với máy chủ C và C trực tiếp từ thiết bị IoT / không được quản lý

Tường lửa thường coi các kết nối ngoài là an toàn, do đó kết nối này không được xem xét kỹ lưỡng hoặc bị chặn bởi tường lửa giống như cách kết nối gửi đến. Tường lửa hoạt động chính xác như được thiết kế và chính xác cách nó được cấu hình. Tuy nhiên, kẻ tấn công hiện đang ở trong mạng với sự hiện diện dai dẳng.


Không phải tất cả đã mất: Đây là cách tự bảo vệ mình:

Không thiết kế lại cách thức trình duyệt và máy chủ DNS hoạt động, có một số bước bạn có thể thực hiện để bảo vệ tổ chức của mình khỏi cuộc tấn công đảo ngược DNS chiếm lấy IoT và các thiết bị không được quản lý:

  1. Giải pháp nhanh nhất và dễ nhất là bắt đầu giám sát tất cả các thiết bị ngay lập tức - đặc biệt là các thiết bị không được quản lý - cho các dấu hiệu vi phạm.
  2. Hãy kiểm kê tất cả các thiết bị IoT của bạn và xác định những thiết bị nào thuộc các phân đoạn mạng khác nhau, để chúng không thể bị phát hiện hoặc xâm phạm bằng cách sử dụng tấn công đảo ngược DNS. Không phải tất cả các thiết bị có thể được chuyển đến một phân khúc khác nhau, nhưng bạn càng di chuyển nhiều thì càng tốt.
  3. Thực hiện phân tích rủi ro của từng thiết bị IoT của bạn. Một số thiết bị có rủi ro hơn những thiết bị khác. Một số thiết bị có giao diện dễ bị tấn công, chẳng hạn như máy chủ HTTP và một số thì không. Thay vì thực hiện đánh giá rủi ro này theo cách thủ công, hãy tìm một cách tự động để đánh giá tất cả các thiết bị cùng một lúc.
  4. Ví dụ, làm cho các thiết bị IoT của bạn ít bị tổn thương hơn bằng cách vô hiệu hóa các dịch vụ mà bạn không cần, chẳng hạn như UPnP, thay đổi mật khẩu cho máy chủ HTTPS của mỗi thiết bị và cập nhật phần mềm thiết bị bất cứ khi nào có thể. Tiến hành cập nhật phần mềm khác nhau để tải xuống thủ công và áp dụng cho từng thiết bị.

Tất nhiên, luôn luôn nên đưa ra quyết định sáng suốt khi mua (và kết nối) các thiết bị IoT - kẻo bạn sẽ hối hận vì quyết định này trong tương lai gần sau khi hack cơ hội. Đừng nín thở chờ đợi các bản vá từ nhà sản xuất thiết bị. Vá tất cả các thiết bị này trước các cuộc tấn công phản hồi DNS là một nhiệm vụ khổng lồ, đòi hỏi các bản vá từ nhiều nhà cung cấp thậm chí không đáng tin cậy để đối phó với các mối đe dọa nhỏ hơn. Bạn đang ở một mình khá nhiều ở đây.

|