新DNS漏洞引发黑客下毒及中间人攻击，数百万路由器及IoT设备安全拉警报

　　安全人员最近在流行的C标准函数库（standard C library）中发现DNS域名服务器（Domain Name System）漏洞，黑客可借此对数百万IoT物联网设备及路由器发动DNS下毒（DNS Poisoning）攻击，进而完全掌控这些设备。

　　OT/IoT安全方案商Nozomi Networks旗下实验室研究人员在自家官方博客撰文指出，他们在普遍被IoT设备及网络路由器采用的流行C标准函数库（包括所有版本的uClibc及uClibc-ng函数库）中，发现会引发设备劫持风险的未修补DNS漏洞。

　　研究人员指出，该漏洞基本上是因为交易ID（涵盖于函数库生成的DNS请求中）变得可预测而造成的，这使得攻击得以对目标设备发动DNS下毒攻击（又称DNS诈骗攻击或DNS缓存下毒攻击）。在这样的攻击中，攻击者会诱骗DNS客户端服务接受伪造的回应，进而迫使程序与任意定义的非法端点设备进行网络通信。

　　这个漏洞之所以会对当前数以百万计的IoT设备及路由器安全造成影响，是因为uClibc及uClibc-ng是当前开发嵌入式Linux系统上最普遍采用的小型C标准函数库，但凡Linksys、Netgear及Axis等主要网络设备供应商莫不在他们自己的设备中采用这些函数库。而且uClibc-ng也是OpenWRT操作系统的专属函数库，OpenWRT是当前普遍部署在各类关键基础设施领域之中路由器所通用的操作系统，所以这回新漏洞的影响层面真的非常广泛。

　　最令人担心的是，黑客通过对DNS记录下毒，便能将网络通信重新路由到自己控制的服务器上，换言之，黑客可以在DNS下毒攻击后，紧接发动中间人攻击（Man-in-the-middle attack, MitM）。如此一来，黑客便能接着窃取或操控用户发送的资讯，并对各种IoT及网络设备发动其他攻击，直到完全劫持与掌控为止。

　　Nozomi Networks表示，虽然目前漏洞仍未修补，但他们目前正与两个C标准函数库的维护人员及其他相关社群共同合作找出解决方案。在更新修补程序正式发布之前，Nozomi Networks建议，同时提升IT及OT环境的网络可见度与安全性，才是长远的安全防护之道。

　　（首图来源：Linksys）

　　举报/反馈