近日，F(xiàn)orescout研究實(shí)驗(yàn)室與JSOF合作，披露了一組新的DNS漏洞，稱(chēng)為NAME:WRECK。

漏洞存在于四個(gè)流行的TCP/IP堆棧中，即FreeBSD、IPnet、Nucleus NET和NetX，這些堆棧通常存在于流行的IT軟件和IoT/OT固件中，影響全球數(shù)以百萬(wàn)計(jì)的IoT物聯(lián)網(wǎng)設(shè)備。

據(jù)初步評(píng)估，WRECK漏洞將影響眾多行業(yè)與組織，包括政府、企業(yè)、醫(yī)療、制造和零售業(yè)等，僅美國(guó)就有超過(guò)18萬(wàn)臺(tái)設(shè)備受到影響。不法分子可以利用這些漏洞使目標(biāo)設(shè)備脫機(jī)，或者接管控制并執(zhí)行操作。

安全研究經(jīng)理DS指出：“NAME:WRECK是一組重大且影響廣泛的漏洞，可能會(huì)造成大規(guī)模破壞。全面防護(hù)緩解NAME:WRECK需要修補(bǔ)運(yùn)行易受攻擊的IP堆棧版本的設(shè)備，所有運(yùn)行存在漏洞的IP堆棧的設(shè)備都需要安裝最新的修補(bǔ)程序。

攻擊者可通過(guò)入侵向互聯(lián)網(wǎng)服務(wù)器發(fā)出DNS請(qǐng)求的設(shè)備，來(lái)獲得企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)。為了獲得初始訪問(wèn)權(quán)限，攻擊者可以通過(guò)利漏洞的武器化來(lái)達(dá)成攻擊。
利用基于DNS的漏洞時(shí)，攻擊者會(huì)使用惡意數(shù)據(jù)包回復(fù)合法的DNS請(qǐng)求。這可以通過(guò)在請(qǐng)求和回復(fù)路徑中的“中間人”或利用DNS查詢(xún)服務(wù)器來(lái)實(shí)現(xiàn)。例如，攻擊者可以利用易受DNSpooq攻擊的服務(wù)器或轉(zhuǎn)發(fā)器，以及目標(biāo)設(shè)備與DNS服務(wù)器之間的類(lèi)似漏洞，用植入武器化有效載荷的惡意消息進(jìn)行回復(fù)。

取得初始訪問(wèn)后，攻擊者可以使用受感染的駐足點(diǎn)來(lái)建立內(nèi)部DHCP服務(wù)器，并通過(guò)在廣播DHCP請(qǐng)求的，易受攻擊的內(nèi)部FreeBSD服務(wù)器上執(zhí)行惡意代碼來(lái)進(jìn)行橫向移動(dòng)。

最終，攻擊者可以使用那些被入侵的內(nèi)部服務(wù)器在目標(biāo)網(wǎng)絡(luò)上駐留，或通過(guò)暴露于互聯(lián)網(wǎng)的IoT物聯(lián)網(wǎng)設(shè)備竊取數(shù)據(jù)。

每年，DNS 攻擊者都會(huì)想出一系列詭異的技巧來(lái)摧毀關(guān)鍵的在線基礎(chǔ)架構(gòu)，并且損失可能是巨大的。對(duì)于嚴(yán)重依賴(lài)在線域的個(gè)人和企業(yè)，遵循最佳實(shí)踐準(zhǔn)則并安裝最新的 DNS 阻止技術(shù)將在很大程度上防止它們出現(xiàn)問(wèn)題。