网站安全 · 2022年1月28日 0

最近的网站攻击者可利用DNSpooq漏洞劫持DNS,非常危险

pccues/JSOF披露了七个Dnsmasq漏洞,这些漏洞被统称为DNSpooq,可被攻击者用于发起DNS缓存投毒、远程执行代码和拒绝服务攻击,数百万设备受到影响。Dnsmasq是一个流行的、开源的域名系统(DNS)转发软件,经常用于将DNS缓存和动态主机配置协议(DHCP)服务器功能添加到物联网(IoT)和其他各种嵌入式设备中。目前还不清楚使用存在DNSpooq漏洞的Dnsmasq版本的所有公司的数量或名称。不过,JSOF在报告中重点列出了40家厂商,包括Android/Google、Comcast、Cisco、Redhat、Netgear、Qualcomm、Linksys、IBM、D-Link、Dell、华为和Ubiquiti。DNSpooq漏洞背后其中三个DNSpooq漏洞(编号为CVE-2020-25686、CVE-2020-25684和CVE-2020-25685)可导致两种DNS缓存投毒攻击(也称为DNS欺骗)。DNS缓存投毒是一种攻击方法,攻击者可利用该方法将设备上的合法DNS记录替换为自己选择的DNS记录。使用这种攻击,攻击者可以将用户重定向到其控制下的恶意服务器,而对访问者来说,看起来他们似乎在访问合法的网站。攻击者能够借此执行网络钓鱼攻击、盗窃凭据或分发被视为来自可信公司的恶意软件。首个DNS欺骗攻击是由安全研究员Dan Kaminsky在2008年披露的,当时他展示了DNS软件可以被利用来窃取数据和冒充任意网站名称。DNS欺骗JSOF在报告中表示,可能被替换的流量包括常规互联网浏览以及其他类型的流量,如电子邮件、SSH、远程桌面、RDP视频和语音通话、软件更新等假设的攻击场景还包括利用JavaScript的分布式拒绝服务(DDoS)、反向DDoS,以及当移动设备定期切换网络时的可蠕虫化攻击。其余的漏洞均为缓冲区溢出漏洞,编号分别为CVE-2020-25687、CVE-2020-25683、CVE-2020-25682和CVE-2020-25681,当Dnsmasq被配置为使用DNSSEC时,攻击者可以利用这些漏洞在脆弱的网络设备上远程执行任意代码。

pccues.COM