由于IoT装置制造商通常假设同一网络中其它装置是可靠的,因而这些IoT装置的默认值都是采用未加密的HTTP服务,同时信赖由浏览器所送出的恶意命令,使得黑客可以发动DNS重新绑定攻击。
DNS重新绑定主要利用了浏览器的安全漏洞,允许远程黑客绕过受害者的防火墙,并以浏览器作为与内部网络通讯的媒介。
黑客要执行DNS重新绑定攻击通常是先替恶意网域设定一个客制化的DNS服务器,诱导使用者造访恶意网域之后,浏览器就会请求该网域的DNS设定,该DNS服务器先回复一个存活期(TTL)极短的IP地址,使得浏览器必须再重新提出DNS请求,但这次回复的却是恶意的IP地址,只是浏览器仍旧以为自己所造访的是同样的网域,而形成DNS重新绑定。
之后黑客就能以浏览器作为跳板,存取与浏览器同一网域中的IoT装置,包含存取IoT装置的信息,或是传送命令予IoT装置,继之就能建立IoT装置与黑客C&C服务器之间的通讯管道。
导致黑客能掌控IoT装置的原因之一为装置制造商通常假设同一网络中的其它装置是可靠的,因此这些IoT装置的默认值都是采用未加密的HTTP服务,同时信赖由浏览器所送出的恶意命令。例如企业内部的打印机通常采用默认配置,而成为DNS绑架攻击的理想目标,一旦被骇,黑客就能下载打印机曾扫描、储存或缓存的文件。
Armis估计有87%的交换器、路由器或AP,78%的串流媒体装置,77%的IP电话,75%的监控摄影机,66%的打印机或是57%的智能电视都曝露在DNS重新绑定的安全风险中,建议企业应清查及检测内部所有的IoT装置,进行IoT装置的风险评估,关闭诸如UPnP等不需要的服务,变更每个IoT装置的HTTP伺服密码,以及定期更新软件等。
