Niezałatana luka w popularnej standardowej bibliotece C, którą można znaleźć w szerokiej gamie produktów IoT i routerów, może narazić miliony urządzeń na atak.
Luka, zidentyfikowana jako CVE-2022-05-02 i wykryta przez Nozomi Networks, występuje w komponencie Domain Name System (DNS) biblioteki uClibc i jej rozwidleniu uClibc-ng od zespołu OpenWRT. uClibc i uClibc-ng są szeroko stosowane przez firmy Netgear, Axis, Linksys i innych głównych dostawców, a także w dystrybucjach Linuksa przeznaczonych do aplikacji wbudowanych.
Implementacja DNS uClibc zapewnia mechanizm wykonywania zapytań związanych z DNS, w tym wyszukiwania i tłumaczenia nazw domen na adresy IP.
W tej chwili twórca uClibc nie oferuje rozwiązania, co oznacza, że urządzenia od ponad 200 dostawców są narażone na zatrucie DNS lub spoofing DNS, który może przekierować potencjalną ofiarę na szkodliwą stronę internetową hostowaną na serwerze. kontrolowane przez napastnika.
Ryzyko zatrucia DNS
Analitycy bezpieczeństwa Nozomi po raz pierwszy odkryli lukę w uClibc po zbadaniu śladów zapytań DNS wykonanych przez podłączone urządzenie, w którym to czasie znaleźli różne dziwactwa spowodowane przez wewnętrzną funkcję wyszukiwania biblioteki. Po dalszym dochodzeniu firma zajmująca się bezpieczeństwem IoT stwierdziła, że identyfikatory transakcji tych żądań wyszukiwania DNS były przewidywalne, a zatem w pewnych okolicznościach możliwe może być zatruwanie DNS.
Nozomi Networks dostarczyło dodatkowe informacje w poście na blogu o tym, co osoba atakująca może osiągnąć, przeprowadzając zatruwanie DNS na wrażliwych urządzeniach IoT i routerach, mówiąc:
„Atak zatruwania DNS umożliwia kolejne ataki typu Man-in-the-Middle, ponieważ osoba atakująca, zatruwając rekordy DNS, może przekierować komunikację sieciową do serwera znajdującego się pod jej kontrolą. Atakujący może następnie ukraść i/lub manipulować informacjami przesłanymi przez użytkowników oraz przeprowadzić inne ataki na te urządzenia, aby w pełni je skompromitować. Głównym problemem jest to, w jaki sposób ataki zatruwania DNS mogą wymusić uwierzytelnioną odpowiedź.
Po wykryciu tej luki w uClibc we wrześniu ubiegłego roku, Nozomi natychmiast poinformowała o tym CISA, a następnie w grudniu zgłosiła swoje odkrycia do Centrum Koordynacyjnego CERT. Jednak dopiero w styczniu tego roku firma ujawniła lukę dostawcom, których urządzenia mogły być dotknięte luką.
Chociaż obecnie nie ma dostępnej poprawki, dostawcy, których dotyczy problem, oraz inne zainteresowane strony współpracują nad opracowaniem poprawki. Jednak gdy łatka będzie gotowa, użytkownicy końcowi będą musieli sami zastosować ją na swoich urządzeniach za pomocą aktualizacji oprogramowania układowego, ale może to opóźnić czas potrzebny do trwałego usunięcia luki.
Przez BleepingComputer