Egy elsősorban az IoT biztonságára szakosodott cég, az Armis kutatói alaposabban beleásták magukat az internetre kapcsolódó eszközöket – akár egy nyomtatót is – veszélyeztető támadási formát, az ún. DNS rebindinget. A közelmúltban kiadott elemzésük elég sötét képet fest a problémáról. Az Armis konzervatív becslése szerint a sérülékenység világszerte 165 millió nyomtatót, 160 millió IP-kamerát, 124 millió IP-telefont veszélyeztet. De még az olyan hálózati eszközök is ki vannak téve a veszélynek, mint a routerek, a switchek vagy az access pontok – ezekből az Armis szerint összesen 14 millió lehet világszerte.

Így működik a támadás

A támadásnál a böngészők egy közel egy évtizede ismert gyengeségét használják ki, hogy a támadó a böngészőt proxyként használva megkerülje a felhasználó tűzfalát. A támadás a DNS-ek (Domain Name Server) manipulálásán alapul. A felhasználót ráveszik arra, hogy meglátogasson egy preparált weboldalt, amely egy a támadó által vezérelt aldomainre hivatkozik. Mivel a távoli elérést biztosító klienseknél a támadó így a daemon beállításaihoz is hozzáfér, módosíthatja a letöltési könyvtárat, és akár letöltött fájlok azonnali futtatására is adhat utasítást. Ezzel gyakorlatilag bármilyen kódot futtathat a megtámadott gépen. A módszer adatlopásra éppúgy használható, mint spamküldő hálózat létrehozására vagy DDoS támadásra.

Egy támadás általában négy fő lépésben valósul meg.

Először a támadó létrehoz egy DNS szervert, amelyhez hozzákapcsolja a saját, kártékony célokra fenntartott domainnevét (pl. vonzooldal.com), és ráveszi valamilyen módon, például egy hívogató spammel, hogy rákkantitson, azaz meglátogassa az oldalt, minek hatására a böngésző visszakapjaa weblap DNS-címét.

A második lépésben már a preparált weblapon keresztül egy rosszindulatú JavaScript fog lefutni a felhasználó böngészőjében, ami újabb kéréseket küld a támadó DNS-szervere felé. A harmadik lépésben nagyon alacsonyra állított TTL (Time To Live) miatt újabb DNS-lekérdezés történik, de ekkor már helyi címekkel valósul meg a névfeloldás. Végül a fentiek ismételgetésével a támadó feltérképezheti a helyi hálózatot, megkeresi a sérülékeny eszközöket, azonosítja az IP-címüket, illetve egyéb kártékony műveleteket hajt végre.

Ezt azonban már évek óta ismerik. Hol az újdonság?

Ezt hozta ki az átfogó vizsgálat

Elsősorban ott, hogy a probléma sokkal átfogóbb, mint gondolták. Az Armis tanulmánya szerint mintegy 165 millió nyomtató, 160 millió IP-kamera, 124 millió IP-telefon, 28 millió okostévét és 14 millió hálózati eszköz (routert, switch-et) lényegében védtelen a támadási típussal szemben. Ez pedig egyben azt is jelenti, hogy az eddig ismert támadási felület sokkal nagyobb.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

És közel sem csak a neve nincs gyártók készülékeiről van szó. A hálózati eszközöknél például szinte minden nagy gyártó (Cisco, Aruba Networks, Avaya, Netgear) szerepel a listán, ahogy az IP-kameráknál (Axis, GoPro, Sony, Vivotek) vagy a nyomtatóknál (HP, Epson, Konica stb.) is.

Ugyanakkor az is tény, hogy már megkezdődött a kárelhárítás. Mint a Biztonságportál írja, a Cisco a közelmúltban az IP-telefonjainak sérülékenységét csökkentette javítócsomaggal.

Hogy mennyire kiterjedt a sérülékenység, jól mutatja, hogy a múlt hónapban az Axis IP-kameráiban hét, a Foscaméiban három olyan sérülékenységet találtak, melyek kihasználhatók a DNS rebindinggel – ezekhez készültek javítások is. Az egyik legveszélyeztetettebb eszközcsoport az Armis szerint a nyomtatók. Egy vállalatnál ugyanis jellemzően ez az egyik legkevésbé felügyelt erőforrás – pedig ugyanúgy a hálózaton lóg, mint a PC-k –, és ennek megfelelő a megfelelő konfigurálásával sem nagyon foglalkoznak, hanem hagynak mindent gyári beállításon.

A leghatásosabb ellenszer a monitorozás

Bár a neves gyártók nem engedhetik meg maguknak, hogy ne reagáljanak gyorsan, ha biztonsági rést találnak egy eszközükben (lásd fentebb a Cisco, az Axis vagy a Foscam példáját), az Armis szerint naiv hozzáállás lenne csak erre építeni a biztonságot. Amellett, hogy egy internetre kapcsolt eszköznél hangsúlyosan fontos, hogy mindig naprakész legyen, vállalati környezetben a hálózat mélyreható, a DNS rebinding veszélyére is figyelő monitorozás is kulcsfontosságú lehet.