Eine ungepatchte Schwachstelle in einer beliebten C-Standardbibliothek, die in einer Vielzahl von IoT-Produkten und Routern zu finden ist, könnte Millionen von Geräten einem Angriffsrisiko aussetzen.
Die Schwachstelle, die als CVE-2022-05-02 verfolgt und von Nozomi Networks entdeckt wurde, ist in der Domain Name System (DNS)-Komponente der uClibc-Bibliothek und ihrer uClibc-ng-Verzweigung vom OpenWRT-Team vorhanden. uClibc und uClibc-ng werden häufig von Netgear, Axis, Linksys und anderen großen Anbietern sowie in Linux-Distributionen verwendet, die für eingebettete Anwendungen entwickelt wurden.
Die DNS-Implementierung von uClibc bietet einen Mechanismus zum Durchführen von DNS-bezogenen Abfragen, einschließlich Suchen und Übersetzen von Domänennamen in IP-Adressen.
Derzeit bietet der Entwickler von uClibc keine Lösung an, was bedeutet, dass Geräte von über 200 Anbietern dem Risiko einer DNS-Vergiftung oder DNS-Spoofing ausgesetzt sind, die ein potenzielles Opfer auf eine bösartige Website umleiten kann, die auf einem Server gehostet wird. von einem Angreifer kontrolliert.
Risiko einer DNS-Vergiftung
Die Sicherheitsforscher von Nozomi entdeckten die Schwachstelle in uClibc zuerst, nachdem sie Spuren von DNS-Abfragen untersucht hatten, die von einem verbundenen Gerät durchgeführt wurden, wobei sie an diesem Punkt mehrere Macken fanden, die durch die interne Suchfunktion der Bibliothek verursacht wurden. Bei weiteren Untersuchungen stellte die IoT-Sicherheitsfirma fest, dass die Transaktions-IDs dieser DNS-Lookup-Anfragen vorhersehbar waren und daher unter bestimmten Umständen eine DNS-Vergiftung möglich sein könnte.
Nozomi Networks lieferte in einem Blogbeitrag zusätzliche Informationen darüber, was ein Angreifer erreichen könnte, indem er eine DNS-Vergiftung auf anfälligen IoT-Geräten und Routern durchführt, und sagte:
„Ein DNS-Poisoning-Angriff ermöglicht nachfolgende Man-in-the-Middle-Angriffe, da der Angreifer durch die Vergiftung von DNS-Einträgen die Netzwerkkommunikation an einen Server unter seiner Kontrolle umleiten kann. Der Angreifer könnte dann von Benutzern übermittelte Informationen stehlen und/oder manipulieren und ausführen.“ andere Angriffe gegen diese Geräte, um sie vollständig zu kompromittieren. Das Hauptproblem hierbei ist, wie DNS-Poisoning-Angriffe eine authentifizierte Antwort erzwingen können.
Nachdem Nozomi diesen Fehler in uClibc im September letzten Jahres entdeckt hatte, informierte sie sofort CISA darüber und meldete ihre Erkenntnisse dann im Dezember dem CERT-Koordinationszentrum. Allerdings hat das Unternehmen die Schwachstelle erst im Januar dieses Jahres gegenüber Anbietern offengelegt, deren Geräte von der Schwachstelle betroffen sein könnten.
Obwohl derzeit kein Fix verfügbar ist, arbeiten betroffene Anbieter und andere interessierte Parteien zusammen, um einen Fix zu entwickeln. Sobald ein Patch jedoch fertig ist, müssen Endbenutzer ihn selbst über Firmware-Updates auf ihre Geräte anwenden, aber dies könnte die Zeit verzögern, die benötigt wird, um die Schwachstelle dauerhaft zu beheben.
Über BleepingComputer