美国发布DNS劫持紧急指令

作者:nana, 星期四, 一月 31, 2019
来源:https://www.aqniu.com/news-views/43532.html

美国新成立的网络安全及基础设施安全局(CISA)在1月发布紧急指令,要求立即采取措施保护美国联邦信息系统不受DNS劫持与篡改侵害。

CISA于去年11月成立,旨在领导美国关键基础设施防护工作。接到安全公司火眼关于当前DNS劫持与篡改攻击活动的警报后,局长 Chris Krebs 签发了该紧急指令。

指令列出了各机构必须采取的一系列系统强化措施,以及关键安全过程的意识提升及可信度增强操作,这些措施和操作具有风险指示性,简单直白,高效率/低负担。

——Chris Krebs,2019年1月23日

此前国土安全部(DHS)基于火眼公司的报告发出了安全警报,表示劫持有可能出自伊朗的黑客团伙发起协同DNS劫持攻击,篡改了政府机构的DNS记录。

1. 审计DNS记录

10个工作日内,所有.gov或其他机构管辖下的域名,均需审计全部权威及备用DNS服务器上的公共DNS记录,验证这些记录是否解析至既定地址。如有解析错误的情况,上报CISA。

2. 修改DNS账户口令

10个工作日内,能修改机构DNS记录的主机上的所有账户,全体更新登录口令。

3. DNS账户添加多因子身份验证措施

10个工作日内,能修改机构DNS记录的主机上的所有账户,全部实现多因子身份验证(MFA)。

4. 监视证书透明性日志

10个工作日内,CISA将开始通过‘网络卫生( Cyber Hygiene )’服务为机构域名的证书透明性(CT)日志定期交付新添加的证书。

据悉,请假的员工会被召回,但由于政府停摆,他们的工作是无偿的。Krebs称:尽管知道某些机构因为政府部分停摆而难以执行该指令,但他们认为这些操作都是必要的,而且是紧急而可以实现的,因为大多数机构都有足够的员工采取必要操作。

美国民众永远不应该质疑与联邦政府互动的安全性,不应该怀疑他们的敏感数据是否存在风险,不应该担心来自政府的信息遭到了篡改。

火眼将此攻击描述为:此类攻击难以防御,因为重要信息可能被盗,即便攻击者从未能够直接访问你公司的网络。可采取的安全强化措施包括:在域名管理门户实现多因子身份验证;验证权威及备用域名服务器DNS记录修改;查找与你域名相关的SSL证书,撤销任何可疑证书;验证OWA/Exchange日志中的源IP;执行内部调查,评估攻击者是否取得自身环境访问权。

美国国土安全部关于成立CISA的通报:

https://www.dhs.gov/cisa/news/2018/11/13/congress-passes-legislation-standing-cybersecurity-agency-dhs

火眼报告:

https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

相关阅读

DNS重绑定漏洞致4.96亿企业设备暴露

中美研究人员:DNS流量可被劫持并操纵

实现大规模中间人攻击的核武器:DNS劫持