Неисправленная уязвимость в популярной стандартной библиотеке C, обнаруженная в широком спектре продуктов и маршрутизаторов IoT, может подвергнуть риску атаки миллионы устройств.
Уязвимость, отслеживаемая как CVE-2022-05-02 и обнаруженная Nozomi Networks, присутствует в компоненте системы доменных имен (DNS) библиотеки uClibc и ее ответвлении uClibc-ng от команды OpenWRT. uClibc и uClibc-ng широко используются Netgear, Axis, Linksys и другими крупными поставщиками, а также в дистрибутивах Linux, предназначенных для встраиваемых приложений.
Реализация DNS в uClibc предоставляет механизм для выполнения запросов, связанных с DNS, включая поиск и преобразование доменных имен в IP-адреса.
В настоящее время разработчик uClibc не предлагает решения, а это означает, что устройства от более чем 200 провайдеров подвержены риску отравления DNS или спуфинга DNS, которые могут перенаправить потенциальную жертву на вредоносный веб-сайт, размещенный на сервере. контролируется злоумышленником.
Риск отравления DNS
Исследователи безопасности в Nozomi впервые обнаружили уязвимость в uClibc после изучения следов DNS-запросов, сделанных подключенным устройством, и в этот момент они обнаружили несколько странностей, вызванных внутренней функцией поиска библиотеки. В ходе дальнейшего расследования компания по обеспечению безопасности IoT обнаружила, что идентификаторы транзакций этих запросов поиска DNS были предсказуемы, и поэтому при определенных обстоятельствах возможно отравление DNS.
Nozomi Networks предоставила дополнительную информацию в своем блоге о том, чего может добиться злоумышленник, выполнив отравление DNS на уязвимых устройствах и маршрутизаторах IoT, заявив:
«Атака с отравлением DNS делает возможными дальнейшие атаки «человек посередине», потому что злоумышленник, отравляя записи DNS, может перенаправить сетевые соединения на сервер, находящийся под их контролем. Затем злоумышленник может украсть и / или манипулировать информацией, предоставленной пользователями. и выполнять другие атаки на эти устройства, чтобы полностью их скомпрометировать. Основная проблема здесь заключается в том, как атаки с отравлением DNS могут вызвать аутентифицированный ответ.
Обнаружив эту уязвимость в uClibc в сентябре прошлого года, Нозоми немедленно сообщила об этом CISA, а затем в декабре сообщила о своих выводах в Координационный центр CERT. Однако только в январе этого года компания сообщила об уязвимости поставщикам, чьи устройства могут быть затронуты этой уязвимостью.
Хотя в настоящее время исправление недоступно, затронутые поставщики и другие заинтересованные стороны работают вместе над разработкой исправления. Однако после того, как исправление будет готово, конечные пользователи должны будут сами применить его к своим устройствам с помощью обновлений прошивки, но это может увеличить время, необходимое для окончательного устранения уязвимости.
Через BleepingComputer
