ПОЛМИЛЛИАРДА IOT-УСТРОЙСТВ СОДЕРЖАТ БРЕШЬ 11-ЛЕТНЕЙ ДАВНОСТИ

Аналитики компании Armis заявляют, что почти все IoT-устройства уязвимы к атакам методом перепривязки DNS (DNS rebinding). Хотя об угрозе известно более десяти лет, по словам экспертов, ее эксплуатация возможна в почти 500 млн умных вещей. Брешь позволяет злоумышленникам проникать в локальную сеть жертвы, чтобы красть приватные сведения или создавать ботнеты.

Совершая нападение через перепривязывание DNS, преступник заставляет браузер или устройство жертвы обращаться к стороннему серверу с вредоносным содержимым. Скомпрометированное оборудование зачастую используется для развития дальнейших атак на входящие в локальную сеть системы.

Для проведения взлома злоумышленник разворачивает собственный DNS-сервер и привязывает его к вредоносному домену. Затем с помощью различных приемов, например спама, межсайтового скриптинга (XSS) или рекламных баннеров на сторонних ресурсах атакующий заставляет пользователя перейти по “нехорошей” ссылке.

Когда ловушка преступника срабатывает, браузер жертвы посылает на домен запрос о параметрах DNS. Сервер злоумышленника отвечает, позволяя обозревателю записать адрес. Однако заданный атакующим TTL предполагает прохождение повторной проверки с интервалом в одну секунду.

Следовательно, практически сразу после первого обмена данными браузер отправляет новый DNS-запрос тому же домену, поскольку истек срок жизни IP-пакета. На этот раз сервер отвечает устройству, подменяя прошлые сведения на адрес одного из устройств в сети пользователя. Каждую секунду обмениваясь информацией с умными вещами жертвы, злоумышленник получает доступ к IP-адресам сети и собирает сведения о подключенных устройствах. В дальнейшем он может использовать полученное преимущество не только для слежки за владельцем, но и для совершения других преступных действий, например создания ботнета.

Устройства IoT удобны для атак методом перепривязки DNS, поскольку они часто входят в корпоративные сети различных компаний и позволяют злоумышленникам получать доступ к приватным данным, в том числе к финансовой информации. По подсчетам исследователей, под угрозой находится около полумиллиарда умных вещей разных производителей. Больше всего брешей приходится на роутеры, свитчи и беспроводные точки доступа от Aruba, Avaya, Cisco, Extreme и Netgear — под угрозой оказались 14 миллионов продуктов, что составляет 87% от общего числа.

Безопасность IoT-оборудования серьезно беспокоит экспертов. По их мнению, если вендоры не могут закрыть относительно тривиальные уязвимости межсайтового скриптинга и подделки запроса (CSRF/XSRF), то не стоит ждать выпуска обновлений для защиты от такой комплексной угрозы, как перепривязка DNS.

Об этой же проблеме месяц назад сообщил специалист по информационной безопасности Бреннон Дорси (Brannon Dorsey). В своей публикации он заявляет, что перепривязка DNS возможна на IoT-продуктах компаний Google, Roku и Sonos.

Объединение умных вещей в ботнеты также является серьезной угрозой. Не так давно аналитики китайской компании Qihoo 360 обнаружили рост сети HNS (Hide’N’Seek). Зловред выделяется своей живучестью и способен работать даже после перезапуска пораженного устройства. По словам исследователей, помимо цифровых камер и видеорегистраторов HNS стала способна захватывать роутеры и системы управления базами данных (СУБД).