Forescout研究实验室与JSOF合作,披露了一组新的DNS漏洞,称为NAME:WRECK。
这些漏洞影响了四个流行的TCP / IP堆栈,即FreeBSD,IPnet,Nucleus NET和NetX,它们通常存在于著名的IT软件和流行的IoT / OT固件中,并且有可能影响全球数百万个IoT设备。
FreeBSD用于数百万个IT网络中的高性能服务器,包括Netflix和Yahoo等主要的网络目的地。同时,诸如西门子Nucleus NET之类的IoT / OT固件已在关键的OT和IoT设备中使用了数十年。
NAME:WRECK漏洞可能影响所有部门的组织,包括政府,企业,医疗保健,制造和零售
据信,美国超过180,000台设备和英国超过36,000台设备受到了影响。如果被利用,不良行为者可以使用它们使目标设备脱机或控制其操作。
“ NAME:WRECK是一组重大且广泛的漏洞,可能会造成大规模破坏,” Forescout Research Labs研究经理Daniel dos Santos解释说。“针对NAME:WRECK的全面保护要求修补运行IP堆栈易受攻击版本的设备,因此我们鼓励所有组织确保它们在这些受影响的IP堆栈中运行的任何设备都具有最新的修补程序。”
攻击场景
在这种情况下,攻击者通过破坏向Internet上的服务器发出DNS请求的设备,来获得对组织网络的初始访问(图中的步骤1)。为了获得初始访问权限,攻击者可以利用影响Nucleus NET的RCE之一。妥协可以发生,例如,通过将剥削武器化。
利用内部和外部目标上的NAME:WRECK漏洞进行攻击的情形
关于基于DNS的漏洞的警告是,它们要求攻击者使用恶意数据包回复合法的DNS请求。这可以通过请求和答复之间路径中的中间人或利用查询的DNS服务器来实现。例如,可以利用易受DNSpooq攻击的服务器或转发器以及目标设备与更具权威性的DNS服务器之间的类似漏洞,利用带有武器化有效载荷的恶意消息进行回复。
初始访问后,攻击者可以使用受感染的入口点来建立内部DHCP服务器,并通过在传播DHCP请求的易受攻击的内部FreeBSD服务器上执行恶意代码来进行横向移动(步骤2)。
最后,攻击者可以使用那些内部受损的服务器在目标网络上保留或通过暴露于Internet的IoT设备窃取数据(步骤3)。
攻击者可以做什么
不良行为者可以做什么的一些假设但完全合理的场景包括:
- 通过访问敏感数据(例如财务记录,知识产权或员工/客户信息)公开政府或企业服务器
- 通过连接到医疗设备获取医疗保健数据,使它们脱机并阻止医疗保健提供服务,从而危及医院
- 通过访问工厂/工厂网络以篡改生产线来影响制造
- 通过关闭连接到其楼宇自动化控制器的灯来关闭零售商
不良行为者还可能利用住宅和商业空间(包括大型连锁酒店)的重要建筑功能,以危害居民的安全。这可能包括:
- 篡改供暖,通风和空调系统
- 禁用重要的安全系统,例如警报器和门锁
- 关闭自动照明系统
评论
发表评论