Неисправленная уязвимость в популярной стандартной библиотеке C, обнаруженная в широком спектре IoT-продуктов и маршрутизаторов, может подвергнуть риску атаки миллионы устройств.
Уязвимость, обозначенная как CVE-2022-05-02 и обнаруженная Nozomi Networks, присутствует в компоненте системы доменных имен (DNS) библиотеки uClibc и ее ответвлении uClibc-ng от команды OpenWRT. uClibc и uClibc-ng широко используются Netgear, Axis, Linksys и другими крупными поставщиками, а также в дистрибутивах Linux, предназначенных для встроенных приложений.
Реализация DNS в uClibc предоставляет механизм выполнения запросов, связанных с DNS, включая поиск и преобразование доменных имен в IP-адреса.
В настоящее время разработчик uClibc не предлагает решения, а это означает, что устройства более чем 200 производителей подвергаются риску заражения DNS или подмены DNS, что может перенаправить потенциальную жертву на вредоносный веб-сайт, размещенный на сервере. контролируется злоумышленником.
Риск отравления DNS
Исследователи безопасности Nozomi впервые обнаружили уязвимость в uClibc после изучения следов DNS-запросов, сделанных подключенным устройством, после чего они обнаружили несколько особенностей, вызванных внутренней функцией поиска библиотеки. В ходе дальнейшего расследования компания, занимающаяся безопасностью Интернета вещей, обнаружила, что идентификаторы транзакций этих запросов поиска DNS были предсказуемыми, и поэтому при определенных обстоятельствах может быть возможно отравление DNS.
Nozomi Networks предоставила дополнительную информацию в своем блоге о том, чего злоумышленник может достичь, выполнив отравление DNS на уязвимых устройствах IoT и маршрутизаторах, заявив:
«Атака с отравлением DNS делает возможным последующие атаки «Человек посередине», поскольку злоумышленник, отравляя записи DNS, может перенаправить сетевые соединения на сервер, находящийся под его контролем. Затем злоумышленник может украсть и/или манипулировать информацией, предоставленной пользователями, и выполнить другие атаки на эти устройства с целью их полной компрометации. Основная проблема здесь заключается в том, как атаки с отравлением DNS могут вызвать ответ с аутентификацией.
Обнаружив эту ошибку в uClibc в сентябре прошлого года, Нозоми немедленно проинформировала о ней CISA, а затем в декабре сообщила о своих выводах в Координационный центр CERT. Однако только в январе этого года компания раскрыла уязвимость поставщикам, чьи устройства могут быть затронуты этой уязвимостью.
Хотя в настоящее время решения нет, затронутые поставщики и другие заинтересованные стороны работают вместе над его разработкой. Однако, как только патч будет готов, конечным пользователям придется самостоятельно применить его к своим устройствам с помощью обновлений прошивки, но это может задержать время, необходимое для окончательного устранения уязвимости.
Через BleepingComputer