为何如此?Infoblox指出这套资安系统将DNS查询的网域名称视同URL,并尝试从网域当中的随机IP位址进一步搜寻,一旦包含该厂牌的防火墙设备在内的资安系统收到Cortex Xpanse的请求,就会执行URL过滤,而此种过滤工作将会针对网域启动新的DNS查询,使得网域名称伺服器回传新的IP位址,导致Cortex Xpanse重复、无限循环地执行相关查询。
Infoblox指出,这样的情况导致SecShow的攻击行动被放大,很容易误导相关研究人员,而他们则是借由自己的递归解析器与其他DNS递归解析器比对资料,而得到相关结果。
他们在去年7月,看到骇客执行了6个查询,后续截至12月,有超过230万个查询几乎由Cortex Xpanse触发。