安全人員最近在流行的 C 標準函式庫(standard C library)中發現 DNS 網域名稱系統(Domain Name System)漏洞,駭客可藉此對數百萬 IoT 物聯網裝置及路由器發動 DNS 下毒(DNS Poisoning)攻擊,進而完全掌控這些裝置。
OT/IoT 安全方案商 Nozomi Networks 旗下實驗室研究人員在自家官方部落格撰文指出,他們在普遍被 IoT 裝置及網路路由器採用的流行 C 標準函式庫(包括所有版本的 uClibc 及 uClibc-ng 函式庫)中,發現會引發裝置劫持風險的未修補 DNS 漏洞。
研究人員指出,該漏洞基本上是因為交易 ID(涵蓋於函式庫生成的 DNS 請求中)變得可預測而造成的,這使得攻擊得以對目標裝置發動 DNS 下毒攻擊(又稱 DNS 詐騙攻擊或 DNS 快取下毒攻擊)。在這樣的攻擊中,攻擊者會誘騙 DNS 客戶端服務接受偽造的回應,進而迫使程式與任意定義的非法端點裝置進行網路通訊。
這個漏洞之所以會對當前數以百萬計的 IoT 裝置及路由器安全造成影響,是因為 uClibc 及 uClibc-ng 是當前開發嵌入式 Linux 系統上最普遍採用的小型 C 標準函式庫,舉凡 Linksys、Netgear 及 Axis 等主要網路設備供應商莫不在他們自己的裝置中採用這些函式庫。而且 uClibc-ng 也是 OpenWRT 作業系統的專屬函式庫,OpenWRT 是當前普遍部署在各類關鍵基礎設施領域之中路由器所通用的作業系統,所以這回新漏洞的影響層面真的非常廣泛。
最令人擔心的是,駭客透過對 DNS 紀錄下毒,便能將網路通訊重新路由到自己控制的伺服器上,換言之,駭客可以在 DNS 下毒攻擊後,緊接發動中間人攻擊(Man-in-the-middle attack, MitM)。如此一來,駭客便能接著竊取或操控使用者發送的資訊,並對各種 IoT 及網路設備發動其他攻擊,直到完全劫持與掌控為止。
Nozomi Networks 表示,雖然目前漏洞仍未修補,但他們目前正與兩個 C 標準函式庫的維護人員及其他相關社群共同合作找出解決方案。在更新修補程式正式釋出之前,Nozomi Networks 建議,同時提升 IT 及 OT 環境的網路可見度與安全性,才是長遠的安全防護之道。
(首圖來源:Linksys)
科技新報粉絲團
加入好友
訂閱免費電子報
