Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias El error de DNS sin parches afecta a millones de enrutadores y dispositivos IoT

El error de DNS sin parches afecta a millones de enrutadores y dispositivos IoT

por Dragora

Una vulnerabilidad en el componente del sistema de nombres de dominio (DNS) de una biblioteca estándar C popular que está presente en una amplia gama de productos de IoT puede poner a millones de dispositivos en riesgo de ataque de envenenamiento de DNS.

Un actor de amenazas puede usar el envenenamiento de DNS o la suplantación de DNS para redirigir a la víctima a un sitio web malicioso alojado en una dirección IP en un servidor controlado por el atacante en lugar de la ubicación legítima.

La biblioteca uClibc y su bifurcación del  equipo de OpenWRT , uClibc-ng. Ambas variantes son ampliamente utilizadas por los principales proveedores como Netgear, Axis y Linksys, así como por las distribuciones de Linux adecuadas para aplicaciones integradas.

Según los investigadores de Nozomi Networks, actualmente no hay una solución disponible del desarrollador del desarrollador de uClibc, lo que deja en riesgo los productos de hasta 200 proveedores.

Detalles de vulnerabilidad

La biblioteca uClibc es una biblioteca estándar de C para sistemas integrados que ofrece varios recursos necesarios para las funciones y los modos de configuración en estos dispositivos.

La implementación de DNS en esa biblioteca proporciona un mecanismo para realizar solicitudes relacionadas con DNS, como búsquedas, traducción de nombres de dominio a direcciones IP, etc.

Nozomi revisó el seguimiento de las solicitudes de DNS realizadas por un dispositivo conectado usando la biblioteca uClibc y encontró algunas peculiaridades causadas por una función de búsqueda interna.

Después de investigar más a fondo, los analistas descubrieron que el ID de transacción de la solicitud de búsqueda de DNS era predecible. Debido a esto, el envenenamiento de DNS puede ser posible bajo ciertas circunstancias.

Función de búsqueda de DNS4s en uClibc
Función de búsqueda de DNS4s en uClibc (Nozomi)

Implicaciones de defectos

Si el sistema operativo no usa la aleatorización del puerto de origen, o si lo hace, pero el atacante aún es capaz de aplicar fuerza bruta al valor del puerto de origen de 16 bits, una respuesta de DNS especialmente diseñada enviada a los dispositivos que usan uClibc podría desencadenar un envenenamiento de DNS. ataque.

El envenenamiento de DNS prácticamente engaña al dispositivo de destino para que apunte a un punto final definido arbitrariamente y participe en comunicaciones de red con él.

Al hacer eso, el atacante podría redirigir el tráfico a un servidor bajo su control directo.

«El atacante podría entonces robar o manipular la información transmitida por los usuarios y realizar otros ataques contra esos dispositivos para comprometerlos por completo. El problema principal aquí es cómo los ataques de envenenamiento de DNS pueden forzar una respuesta autenticada», –  Nozomi Networks

Mitigación y fijación

Nozomi descubrió la falla en septiembre de 2021 e informó a CISA al respecto. Luego, en diciembre, informó al Centro de coordinación del CERT y, finalmente, en enero de 2022, reveló la vulnerabilidad a más de 200 proveedores potencialmente afectados.

Como se mencionó anteriormente, actualmente no hay una solución disponible para la falla, que ahora se rastrea bajo ICS-VU-638779 y VU # 473698 (sin CVE todavía).

Actualmente, todas las partes interesadas se están coordinando para desarrollar un parche viable y se espera que la comunidad desempeñe un papel fundamental en esto, ya que este fue precisamente el propósito de la divulgación.

Como los proveedores afectados tendrán que aplicar el parche implementando la nueva versión de uClibc en las actualizaciones de firmware, las correcciones tardarán un tiempo en llegar a los consumidores finales.

Incluso entonces, los usuarios finales tendrán que aplicar las actualizaciones de firmware en sus dispositivos, que es otro cuello de botella que provoca retrasos en la reparación de fallas de seguridad críticas.

«Debido a que esta vulnerabilidad permanece sin parches, por la seguridad de la comunidad, no podemos revelar los dispositivos específicos en los que probamos», dice Nozomi.

«Sin embargo, podemos revelar que eran una gama de dispositivos IoT conocidos que ejecutaban las últimas versiones de firmware con una alta probabilidad de que se implementaran en toda la infraestructura crítica».

Los usuarios de dispositivos IoT y enrutadores deben estar atentos a las nuevas versiones de firmware de los proveedores y aplicar las últimas actualizaciones tan pronto como estén disponibles.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!