1. Что такое атака повторного связывания DNS?
2. Вектор атаки повторного связывания DNS в значительной степени игнорируется, неизвестен
3. Новые продукты признаны уязвимыми для атак связывания DNS
4. Перепривязка DNS в Google Home
5. Перепривязка DNS на устройствах Roku
6. Привязка DNS к динамикам Sonos WiFi
7. Переплет DNS на радиостере
8. Перепривязка DNS на SOHO-роутерах
9. Продавцы должны знать об этом типе атаки

Группы разработчиков из Google Home, Roku TV и Sonos готовят исправления безопасности для предотвращения атак связывания DNS на своих устройствах.

Roku уже начал развертывание обновлений, а Google и Sonos, как ожидается, установят исправления в следующем месяце.

Что такое атака повторного связывания DNS?

Привязка DNS не является новым вектором атаки для любого уровня воображения. Исследователи знали об этом с 2007 года, когда это было впервые подробно описано в Стэнфордская исследовательская работа ,

Целью атаки связывания DNS является привязка устройства к вредоносному DNS-серверу, а затем получение доступа к нежелательным доменам. Атаки связывания DNS обычно используются для взлома устройств и использования их в качестве точек ретрансляции во внутренней сети. Типичная атака повторного связывания DNS обычно проходит следующие этапы:

1) Злоумышленник настраивает собственный DNS-сервер для вредоносного домена.
2) Злоумышленник обманывает жертву, пытаясь получить доступ к ссылке на этот вредоносный домен (это можно сделать с помощью фишинга, спама в IM, XSS или путем скрытия ссылки на вредоносный домен на вредоносном сайте или внутри рекламы, размещенной на законных сайтах).
3) Браузер пользователя делает запрос о настройках DNS этого домена. 4) Злонамеренный DNS-сервер отвечает, и браузер кэширует адрес, такой как XX.XX.XX.XX.
5) Поскольку злоумышленник настроил параметр DNS TTL внутри первоначального ответа равным одной секунде, через одну секунду браузер пользователя делает другой запрос DNS для того же домена, так как срок действия предыдущей записи истек, и ему нужен новый IP-адрес для вредоносный домен.
6) Вредоносная настройка DNS злоумышленника отвечает вредоносным IP-адресом, таким как YY.YY.YY.YY, обычно для домена внутри частной сети устройства.
7) Злоумышленник неоднократно использует злонамеренный DNS-сервер для доступа к большему количеству этих IP-адресов в частной сети для различных целей (сбор данных, инициирование вредоносных действий и т. Д.).

Почти во всех случаях атаки повторного связывания DNS используются не для перенаправления пользователей на внешние вредоносные IP-адреса, а для IP-адресов в локальной сети.

Атаки повторного связывания DNS опасны в сочетании с устройствами, которые не имеют средств защиты для запросов, сделанных из внутренней сети. Например, конечная точка API или панель администратора, которая защищена от запросов глобальной сети, остается без аутентификации по запросам локальной сети.

Например, злоумышленник может обманным путем заставить пользователя получить доступ к malware-site.com, а затем использовать вредоносный DNS-сервер для malware-site.com, чтобы браузер пользователя получил доступ к URL-адресу в виде "http://192.168.0.1 / router / enable / WAN "и автоматически настраивает локальный маршрутизатор на открытие его панели администратора для внешних подключений.

Вектор атаки повторного связывания DNS в значительной степени игнорируется, неизвестен

Но, несмотря на известность более десяти лет, перепривязка DNS в значительной степени ушла из-под контроля, потому что поставщики не верили, что действующий субъект угрозы будет пытаться предпринять подобные попытки.

Причины этого в том, что использование недостатков повторного связывания DNS требует многоэтапного процесса, множества пользовательских инструментов и большого терпения со стороны злоумышленников.

Из-за большого количества движущихся частей, вовлеченных в такую ​​атаку, и многих возможностей того, что что-то пойдет не так, поставщики полагали, что хакеры не будут заинтересованы в таких взломах. Следовательно, в настоящее время очень мало продуктов защищены от повторного связывания DNS.

Новые продукты признаны уязвимыми для атак связывания DNS

Однако в последние месяцы все начало меняться. Интерес к ошибкам связывания DNS со стороны известных исследователей в области безопасности, таких как Google Тавис Орманди, вновь поставил эту проблему в центр внимания.

Недостатки были обнаружены и исправлены в таких продуктах, как Агент обновления Blizzard , Utorrent клиент и Geth Ethereum майнинг программное обеспечение ,

Одно из последних углублений в связывании DNS происходит от чикагского Браннона Дорси. Вчера он опубликовал свое последнее исследование по этому вопросу, которое включало изучение некоторых современных IoT-оборудования и того, как они справляются с атакой повторного связывания DNS.

Неудивительно, что Дорси обнаружил, что большая часть оборудования, которое он тестировал, была уязвимой. В течение последних трех месяцев он заставлял поставщиков исправлять эти проблемы и не добился успеха, пока не вмешались два представителя прессы и не начали задавать вопросы по этой теме. Больше ниже:

Перепривязка DNS в Google Home

Дорси обнаружил, что с помощью атаки повторного связывания DNS, которая связывает вредоносный домен с недокументированным REST API, который работает на устройствах Google Home на порту 8008, он может получить доступ к множеству команд, таких как возможность запуска приложений, воспроизведения контента, сканирования и подключиться к близлежащим сетям Wi-Fi, перезагрузиться и даже сбросить настройки устройства

Кроме того, Дорси утверждал, что, собирая информацию о точках доступа WiFi от потерпевших, злоумышленник может также реконструировать географическое местоположение пользователя на основе общедоступных баз данных, которые связывают идентификаторы сети Wi-Fi с местами реального мира.

По словам Дорси, аналогичные проблемы присутствовали и на устройствах Chromecast.

Исследователь сообщил Google о векторе атаки повторного связывания DNS, но компания в значительной степени проигнорировала его первоначальные сообщения.

Команда Google Home изменила свое решение спустя несколько месяцев после исследования безопасности Tripwire нашел тот же вектор атаки и работал с журналистом безопасности Брайан Кребс неоднократно тыкать Google о проблеме. В конечном итоге компания сдалась и заявила, что выпустит исправление безопасности в середине июля 2018 года.

Перепривязка DNS на устройствах Roku

Тот же вектор атаки повторного связывания DNS также обнаружен на устройствах Roku (CVE-2018–11314). Исследователь утверждает, что устройства Roku предоставляют сервер API через порт 8060, доступный из внутренней сети пользователя.

Злоумышленник может использовать атаку повторного связывания DNS для отправки запросов на этот сервер API и управления основными функциями устройства, такими как запуск приложений, поиск, воспроизведение контента и даже имитация ввода клавиш с помощью приложения виртуальной клавиатуры.

Изначально Roku отказывался признать повторную привязку DNS как возможный вектор атаки и угрозу безопасности для своих устройств. Компания передумала после Дорси объяснил проблему более подробно, приостановив выпуск Roku OS 8.1, чтобы исследовать проблему.

Компания ожидала, что патч будет выпущен через три-четыре месяца, но ускорила их работу, когда Дорси сказал им, что планирует опубликовать его исследование , а так же технический новостной сайт WIRED также был заинтересован в публикации кусочек на его работе. В настоящее время Roku находится в процессе развертывания обновленной прошивки для своих клиентов.

Привязка DNS к динамикам Sonos WiFi

Дорси также обнаружил, что динамики Sonos WiFi также уязвимы для атак связывания DNS (CVE-2018–11316). По словам Дорси, на этих устройствах злоумышленник может повторно привязать внешний домен к внутренней конечной точке UPnP через порт 1400, который можно использовать в качестве посредника для запуска команд оболочки Unix на устройстве.

Исследователь говорит, что эти команды позволяют злоумышленнику «сопоставить внутренние и внешние сети с помощью команды traceroute и проверить хосты с ICMP-запросами с помощью ping с использованием простых POST-запросов».

«Злоумышленник может использовать устройство Sonos в качестве точки опоры для сбора полезной топологии сети и информация подключения для использования в прослеживании атаки,» сказал Дорси.

В отличие от Google и Roku, Sonos был гораздо более отзывчивым и сразу же признал проблему, пообещав исправить ее до середины июля.

Переплет DNS на радиостере

Но помимо умных домашних помощников, программного обеспечения для Smart TV и интеллектуальных динамиков Дорси также посмотрел, как привязка DNS повлияла на домашние термостаты (CVE-2018–11315).

Он проанализировал устройства Radio Thermostat CT50 и CT80 и обнаружил, что атаки связывания DNS работали из-за проблемы безопасности, которая еще не исправлена ​​в 2013 году (CVE-2013–4860), которая выявила API устройства через внутреннюю сеть без какой-либо аутентификации вообще. Дорси обнаружил, что он может взаимодействовать с этим API и изменять комнатные температуры.

«[Изменение] температуры может быть опасным или даже смертельным в летние месяцы для пожилых людей или инвалидов», - сказал он. «Не говоря уже о том, что, если ваше устройство предназначено для вас, пока вы в отпуске, вы можете вернуться домой к огромному счету за коммунальные услуги».

Проблема остается нерешенной в радиостанциях.

Перепривязка DNS на SOHO-роутерах

Что касается WiFi-роутеров, Дорси не рассматривал эти типы устройств. Тем не менее, он говорит, что большинство маршрутизаторов, скорее всего, уязвимы. Зная, сколько конечных точек API и UPnP поставляется с большинством маршрутизаторов, очень вероятно, что атаки на повторную привязку DNS будут возможны на таких устройствах, и эта атака более чем идеальна для пользователей бот-сетей IoT.

Злоумышленник может использовать злонамеренную рекламу (вредоносную рекламу), чтобы обманным путем заставить пользователя сделать запрос DNS на вредоносный DNS-сервер, а затем, после того, как произошла привязка DNS, использовать браузер пользователя в качестве прокси для отправки запросов этим API и UPnP. конечные точки с различными командами.

Например, злоумышленник может использовать учетные данные по умолчанию для доступа к разделу администрирования маршрутизатора и внести изменения в устройство или использовать конечные точки UPnP для изменения настроек интернет-шлюза, настраивая прокси-серверы HTTP, которые работают на маршрутизаторах - тип атаки, известный как UPnProxy ,

Продавцы должны знать об этом типе атаки

Дорси надеется, что его обширные исследования по этой теме повысят осведомленность среди IoT и поставщиков интеллектуальных устройств о атаках повторного связывания DNS и о том, с какой легкостью их можно проводить в наши дни (благодаря вредоносной рекламе).

Он надеется, что поставщики будут иметь те же уровни защиты и функций безопасности на конечных точках API, которые доступны во внутренней сети устройства, так же, как и функции, предоставляемые внешним интерфейсом WAN.

Исследователь также хочет, чтобы потребители также обратили на это внимание. Он рекомендует пользователям использовать такие сервисы, как OpenDNS Home для настройки параметров DNS для своих устройств. Эта служба и другие аналогичные блочные DNS-ответы домена содержат «частные IP-адреса», обычно используемые для внутренних сетей и не имеющие места в обычных DNS-ответах.

Дорси также опубликовал демонстрация концепции за его атаку по привязке DNS, а также два инструмента с открытым исходным кодом, которые помогают другим исследователям исследовать устройства на предмет других уязвимостей привязки DNS.