Millionen IoT-Geräte verwundbar durch DNS Rebinding

Bis zu eine halbe Milliarde IoT-Geräte (Internet of Things) und andere netzwerkfähige Hardware auf der ganzen Welt sollen nicht sicher vor sogenannten DNS-Rebinding-Attacken sein. Diese Art von Angriffen wurde schon vor Jahren beschrieben, taucht aber immer wieder auf. Zuletzt sollen unter anderem Google Home, Roku TV und Sonos sowie Apps des erfolgreichen Spieleanbieters Blizzard nicht ausreichend vor DNS Rebinding geschützt gewesen sein.

Wie funktionieren diese Angriffe? Das Domain Name System (DNS) dient zur Namensauflösung im Internet. Wenn ein Anwender etwa eine Webadresse in seinen Browser eintippt, fragt das Programm anschließend automatisch die korrekte IP-Adresse der gewünschten Domain bei einem DNS-Server ab. Beim DNS Rebinding verwenden die Angreifer einen eigenen DNS-Server sowie eine manipulierte Webseite, die mit einem Javascript präpariert wurde. Das Ziel wird zunächst auf diese Webseite gelockt, die dabei verwendete IP-Adresse wird jedoch als nur für kurze Zeit gültig markiert.

Bei der nächsten Anfrage des Opfers tauscht der DNS-Server dann die IP-Adresse gegen eine Adresse aus dem lokalen Netzwerk aus. Nun verwendet das Javascript die neue IP-Adresse. Auf diese Weise kann sich der Angreifer zum Beispiel in ein Firmennetz einschleichen. Wie der Security-Anbieter Armis nun meldet, lassen sich diese Attacken auch gegen zahlreiche IoT-Geräte und andere netzwerkfähige Produkte durchführen. So seien etwa 77 Prozent der weltweit eingesetzten IP-Telefone nicht ausreichend gegen DNS Rebindung geschützt. Bei IP-Kameras sollen es 75 Prozent sein, die verwundbar sind. Bei vernetzten Druckern 66 Prozent, bei Smart-TVs 57 Prozent, bei Media-Playern 78 Prozent und bei Switches, Routern und WLAN-APs sogar 87 Prozent.

Laut Armis sind Geräte vieler bekannter Marken nicht oder nur unzureichend geschützt gegen DNS Rebinding. Das Unternehmen nennt in einem Blogpost unter anderem die Netzwerkhersteller Aruba, Avaya, Cisco, Extreme Networks und Netgear, aber auch Apple, Google, Roku und Sonos und viele andere bekannte Anbieter. Insgesamt sollen derzeit etwa 496 Millionen netzwerkfähige Endgeräte betroffen sein. Über sie sei es möglich, in die Netzwerke großer und kleiner Firmen einzudringen. Armis vermutet sogar, dass durch die hohe Verbreitung verwundbarer Geräte kaum ein Unternehmen auf der ganzen Welt sicher vor Attacken via DNS Rebinding ist.