?前景提要：今年10月，谷歌安全專家發現廣泛應用于Linux、FreeBSD、 macOS、OpenBSD 和 NetBSD設備的軟件包 Dnsmasq存在7處漏洞，其中三處允許黑客遠程執行任意代碼。

　　近期，西門子發布一份安全報告，證實Dnsmasq的7處安全漏洞中有4處仍影響了公司部分SCALANCE產品設備，包括基于直接訪問節點的W1750D控制器、M800工業路由器以及S615防火墻。隨后， ICS-CERT也針對Dnsmasq漏洞發布了一份關于西門子產品風險的安全報告。

　　DNSmasq 是一款為小型網絡配置DNS與DHCP的工具，其提供了DNS和可選擇的DHCP功能。不過，該款工具可服務于那些只在本地適用的域名(私有域名)，而這些域名并不會在全球的 DNS 服務器中出現。

　　調查顯示，影響西門子產品的其中3處漏洞(CVE-2017-13704、CVE-2017-14495 和 CVE-2017-14496)允許攻擊者通過向 UDP 端口53 發送 “精心制作” 的惡意DNS請求來攻擊Dnsmasq進程，從而導致產品系統處于崩潰狀態。此外，西門子SCALANCE產品還受CVE-2017-13704漏洞影響，允許攻擊者觸發DoS條件后開展拒絕服務攻擊或在受害設備上執行任意代碼。

　　美國ICS-CERT發布安全報告：Dnsmasq漏洞仍將影響西門子部分工業設備-E安全

　　目前，西門子正開發安全補丁，以解決其產品中的Dnsmasq漏洞問題。另外，對于等待修復的SCALANCE W1750D設備來說，如果用戶未使用 “OpenDNS”、“Captive Portal” 或 “URL redirection”等功能時，可以在設備配置中部署防火墻規則阻止對端口 53/UDP 的入站訪問;而對于 SCALANCE M800/S615 設備來說，可以在設備配置中禁用 DNS 代理或配置內部網絡中已經連接的設備使用不同的DNS服務，以便抵制黑客惡意攻擊。