Un demi-milliard d’appareils d’entreprise exposés par DNS Rebinding

tookapic / Pixabay

Près d’un demi-milliard d’appareils utilisés par les entreprises sont exposés aux cyberattaques par selon une étude menée par la société de sécurité IoT Armis.

La DNS Rebinding, une méthode d’attaque connue depuis plus d’une décennie, permet à un pirate distant de contourner le pare-feu de l’entité ciblée et d’abuser de son navigateur pour communiquer directement avec les périphériques du réseau local et exploiter les vulnérabilités éventuelles. On peut faire en sorte que la cible accède à une page malveillante ou afficher une publicité malveillante est souvent suffisant pour mener une attaque qui peut conduire au vol d’informations sensibles et prendre le contrôle des périphériques vulnérables.

Le chercheur de Google Project Zero, Tavis Ormandy, a révélé il y a quelques mois que le DNS Rebinding pouvait être utilisée pour exploiter des failles critiques dans l’application uTorrent de BitTorrent et dans le client Transmission BitTorrent. Plus récemment, le chercheur Brannon Dorsey a montré comment des acteurs malveillants pouvaient exploiter les vulnérabilités des appareils Google Home et Chromecast, des téléviseurs Roku, des haut-parleurs Wi-Fi Sonos, des routeurs et des thermostats intelligents via le DNS Rebinding.

Armis, l’entreprise qui a découvert les failles de Bluetooth surnommées BlueBorne, a mené ses propres recherches sur l’impact du DNS Rebinding sur les entreprises. La société estime que 496 millions de périphériques d’entreprise dans le monde sont exposés en raison de DNS Rebinding. Cela comprend 165 millions d’imprimantes, 160 millions de caméras IP, 124 millions de téléphones IP, 28 millions de téléviseurs intelligents, 14 millions de commutateurs et routeurs et 5 millions de lecteurs multimédias.

En raison de l’utilisation généralisée des types de dispositifs énumérés ci-dessus dans les entreprises, Armis peut conclure que presque toutes les entreprises sont susceptibles d’attaques liées au DNS Rebinding selon Armis. À titre d’exemple de vulnérabilités pouvant être exploitées à la suite d’un DNS Rebinding, l’entreprise a mis en évidence les failles corrigées ce mois-ci par Cisco dans ses téléphones IP. Armis a également souligné les failles de sécurité critiques découverts récemment dans les caméras Axis et Foscam.

En ce qui concerne les imprimantes, les chercheurs ont noté: Malheureusement, les imprimantes sont l’un des appareils les moins gérés et les plus mal configurés de l’entreprise. Mis à part l’ajustement des configurations réseau de base, les entreprises déploient généralement des imprimantes avec des paramètres par défaut, ce qui en fait une cible idéale pour une attaque de DNS Rebinding.

Dans un scénario d’attaque décrit par Armis, l’attaquant doit simplement amener l’utilisateur ciblé à visiter un site Web spécialement conçu qui héberge du code JavaScript qui sera exécuté dans le navigateur de la victime. Le code JavaScript indique au navigateur d’analyser les adresses IP locales à la recherche de périphériques vulnérables.

Une fois les systèmes vulnérables identifiés, l’attaquant peut utiliser le DNS Rebinding pour envoyer des commandes arbitraires (par exemple se connecter au serveur Web) directement à l’adresse IP du périphérique IoT compromis. L’attaquant peut également établir une connexion sortante vers le serveur C&C et il est probable qu’aucune de ces communications ne sera détectée ou bloquée par les produits de sécurité. Étant donné que le DNS Rebinding est possible à cause du principe même du DNS et des navigateurs Web, Armis estime que la meilleure façon pour les entreprises de protéger leurs réseaux contre les attaques est de surveiller tous les périphériques afin de détecter les signes de violation. 

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *