Beveiligingsbedrijf Armis, bekend van het Blueborne-lek, stelt dat een groot aantal iot-apparaten kwetsbaar is voor een zogenaamde dns-rebinding-aanval. Op basis van eigen onderzoek schat het dat wereldwijd 496 miljoen apparaten kwetsbaar zijn in zakelijke netwerken.
Volgens het bedrijf gaat het onder meer om routers, printers, camera's, tv's en telefoons, voornamelijk in zakelijke netwerken. Een aanval via dns-rebinding vindt plaats doordat een doelwit bijvoorbeeld een site bezoekt die is opgezet door een aanvaller en die kwaadaardige JavaScript bevat. Een ander vereiste is dat de aanvaller een kwaadaardige dns-server in zijn beheer heeft.
Als het doelwit de site bezoekt, antwoordt de dns-server eerst met het daadwerkelijke adres van de site, maar met een zeer korte ttl zodat het adres maar kort in de cache wordt opgeslagen. Bij een tweede lookup, die snel volgt door de korte ttl, geeft de dns-server echter een ander adres door, bijvoorbeeld een ip-adres op het lokale netwerk. Daarbij kan een aanvaller onder meer een kwaadaardig commando meesturen. Een dergelijke aanval is niet nieuw en werd al in 2008 beschreven.
Armis claimt dat een aanvaller op deze manier bijvoorbeeld informatie kan verzamelen over apparaten op een lokaal netwerk, dat normaal gesproken is afgesloten door een firewall. Zo zouden bijvoorbeeld beheerdersinterfaces te benaderen zijn via upnp of http. Een aanvaller kan vervolgens een iot-apparaat verbinding laten maken met een externe command-and-control-server, aldus Armis.
De waarschuwing van het bedrijf lijkt op die van een andere onderzoeker, Brannon Dorsey, die onlangs een blogpost over zijn bevindingen publiceerde. Zo toonde hij aan dat het mogelijk was om via dns-rebinding apparaten als een Google Home of een Sonos-speaker aan te vallen. De verschillende fabrikanten gaven toen aan patches te willen ontwikkelen. Ook eerder kwam de techniek al tot inzet bij kwetsbaarheden in de FritzBox-firmware, de uTorrent-client en de Blizzard Update Agent. Deze voorbeelden zijn vrij recent, maar in 2010 waarschuwde een onderzoeker al dat bepaalde routers kwetsbaar waren.