Millioner af routere, videokameraer og IoT-enheder påvirket af DNS-fejl

Biblioteket uClibc og dets søsterkopi fra OpenWRT-teamet, uClibc-ng. Begge varianter bruges i vid udstrækning af alle store videokamera leverandører som Netgear, Axis og Linksys samt Linux-distributioner, der er egnede til indlejrede applikationer. En sårbarhed i DNS-komponenten (Domain Name System) i et populært C-standard-bibliotek, der findes i en bred vifte af IoT-produkter, kan sætte millioner af enheder i risiko for DNS-forgiftningsangreb.

En trusselsaktør kan bruge DNS-forgiftning eller DNS-spoofing til at omdirigere offeret til et ondsindet websted, der hostes på en IP-adresse på en server, der kontrolleres af angriberen i stedet for den legitime placering.

Ifølge forskere ved Nozomi Networks, en løsning er i øjeblikket ikke tilgængelig fra udvikleren af uClibc, hvilket efterlader produkter fra op til 200 leverandører i fare.

Oplysninger om sårbarhed

uClibc-biblioteket er et C-standardbibliotek til indlejrede systemer, der tilbyder forskellige ressourcer, der er nødvendige af funktioner og konfigurationstilstande på disse enheder.

DNS-implementeringen i dette bibliotek giver en mekanisme til at udføre DNS-relaterede anmodninger som opslag, oversættelse af domænenavne til IP-adresser osv.

Nozomi gennemgik sporet af DNS-anmodninger udført af en tilsluttet enhed ved hjælp af uClibc-biblioteket og fandt nogle særegenheder forårsaget af en intern opslagsfunktion.

Efter at have undersøgt yderligere opdagede analytikerne, at DNS-opslagsanmodningens transaktions-id var forudsigeligt. På grund af dette kan DNS-forgiftning være mulig under visse omstændigheder.

DNS-opslagsfunktion4'er i uClibc (Nozomi)
DNS-opslagsfunktion4’er i uClibc (Nozomi)

Fejl konsekvenser

Hvis operativsystemet ikke bruger randomisering af kildeport, eller hvis det gør det, men angriberen stadig er i stand til at brute-tvinge 16-bit kildeportværdien, kan et specielt udformet DNS-svar, der sendes til enheder, der bruger uClibc, udløse et DNS-forgiftningsangreb.

DNS-forgiftning narrer praktisk talt målenheden til at pege på et vilkårligt defineret slutpunkt og engagere sig i netværkskommunikation med det.

Ved at gøre det, angriberen ville være i stand til at omvise trafikken til en server under deres direkte kontrol.

“Angriberen kunne derefter stjæle eller manipulere oplysninger, der blev overført af brugerne, og udføre andre angreb mod disse enheder for fuldstændigt at kompromittere dem. Hovedproblemet her er, hvordan DNS-forgiftningsangreb kan tvinge et godkendt svar,” – Nozomi Networks

Afbødning og fastsættelse

Nozomi opdagede fejlen i september 2021 og informerede CISA om den. Derefter, i december, det rapporterede til CERT Coordination Center, og endelig, i januar 2022, det afslørede sårbarheden til over 200 potentielt påvirkede leverandører.

Som nævnt ovenfor er der i øjeblikket ingen rettelse tilgængelig for fejlen, som nu spores under ICS-VU-638779 og VU # 473698 (ingen CVE endnu).

I øjeblikket koordinerer alle interessenter for at udvikle en levedygtig fejlrettelse, og samfundet forventes at spille en central rolle i dette, da dette netop var formålet med offentliggørelsen.

Da de berørte leverandører bliver nødt til at anvende programrettelsen ved at implementere den nye uClibc-version på firmwareopdateringer, det vil tage et stykke tid, før rettelserne når ud til slutbrugerne.

Selv da bliver slutbrugerne nødt til at anvende firmwareopdateringerne på deres enheder, hvilket er et andet kvælningspunkt, der forårsager forsinkelser i at rette kritiske sikkerhedsfejl.

“Fordi denne sårbarhed forbliver upatchet, kan vi af hensyn til samfundets sikkerhed ikke afsløre de specifikke enheder, vi testede på,” og

“Vi kan dog afsløre, at de var en række kendte IoT-enheder, der kører de nyeste firmwareversioner med stor chance for, at de implementeres i hele den kritiske infrastruktur.”

siger Nozomi

“Det må vi så håbe, for videovervågning er jo intet værd hvis de kan overvåges. Vore penetrationstests opfanger dog denne og lignende sårbarheder i fortiden og i fremtiden,”

og

“Vi skønner at det vil tage 14 før rettelsen er tilstede og dermed ca. 1-3 måneder før 50% af de berørte IOT enheder såsom en Videokamera installation er opdateret, desværre er videokamera brugere ikke så hurtige til at opdatere,”

siger Michael Rasmussen fra ICARE SECURITY A/S.

Brugere af IoT- og routerenheder bør holde øje med nye firmwareudgivelser fra leverandører og anvende de seneste opdateringer, så snart de bliver tilgængelige.

Kilde: Bleeping Computer
Kilde Screendump

Scroll til toppen