CISA 在公告中指出,該單位最近正在追蹤一系列涉及 DNS 竄攻的攻擊事件,也已通知遭攻擊單位進行必要修補措施。
CISA 同時指出,攻擊者通常先透過各種手法取得或變更 DNS 管理者的登入訊息,取得 DNS 管理權後,接下來就會竄改 DNS 中的 A、MX、NS 等重要記錄,將流量與內含資訊導向至攻擊者自有的系統中。
此外,由於攻擊者取得了 DNS 管理權,因此也能取得並控制該網域的加密憑證設定;因此攻擊者將能將導入的流量和資訊加以解密運用,而外界無法察覺異狀。
CISA要求美國政府各單位十個工作天內採取以下措施,加強DNS防護:
- 全面檢視 DNS 設定與記錄,若有異常指向不明主機,應立即回報;
- 全面更換 DNS 管理帳號之密碼;
- DNS 管理帳號全面實施多步驟認證,以防釣魚攻擊;無法實施者應立即向 CISA 回報主機名稱、期限內無法實施之原因,以及預定實施日期;
- 監控網域憑證記錄檔:CISA 即日起將定期公告新增憑證資訊,各單位若發現自己並未申請該憑證,應立即回報。
此外,CISA 也會提供美國政府各單位必要的技術支援與資訊。
資料來源:
