Una vulnerabilidad sin parches en una biblioteca estándar C popular que se encuentra en una amplia gama de productos y enrutadores de IoT podría poner en riesgo de ataque a millones de dispositivos.
La vulnerabilidad, identificada como CVE-2022-05-02 y descubierta por Nozomi Networks, está presente en el componente Sistema de nombres de dominio (DNS) de la biblioteca uClibc y su bifurcación uClibc-ng del equipo de OpenWRT. uClibc y uClibc-ng son ampliamente utilizados por Netgear, Axis, Linksys y otros proveedores importantes, así como en distribuciones de Linux diseñadas para aplicaciones integradas.
La implementación de DNS de uClibc proporciona un mecanismo para realizar consultas relacionadas con DNS, incluidas búsquedas y traducción de nombres de dominio a direcciones IP.
En este momento, el desarrollador de uClibc no ofrece una solución, lo que significa que los dispositivos de más de 200 proveedores corren el riesgo de envenenamiento de DNS o suplantación de DNS que puede redirigir a una víctima potencial a un sitio web malicioso alojado en un servidor. controlado por un atacante.
Riesgo de envenenamiento de DNS
Los investigadores de seguridad de Nozomi descubrieron por primera vez la vulnerabilidad en uClibc después de examinar los rastros de las consultas de DNS realizadas por un dispositivo conectado, momento en el que encontraron varias peculiaridades causadas por la función de búsqueda interna de la biblioteca. Tras una investigación más detallada, la empresa de seguridad de IoT descubrió que los ID de transacción de estas solicitudes de búsqueda de DNS eran predecibles y, por lo tanto, el envenenamiento de DNS podría ser posible en determinadas circunstancias.
Nozomi Networks brindó información adicional en una publicación de blog sobre lo que un atacante podría lograr al realizar un envenenamiento de DNS en dispositivos y enrutadores IoT vulnerables, diciendo:
"Un ataque de envenenamiento de DNS permite posteriores ataques Man-in-the-Middle porque el atacante, al envenenar los registros de DNS, puede redirigir las comunicaciones de la red a un servidor bajo su control. El atacante podría entonces robar y/o manipular la información enviada por los usuarios. y realizar otros ataques contra estos dispositivos para comprometerlos por completo. El problema principal aquí es cómo los ataques de envenenamiento de DNS pueden forzar una respuesta autenticada.
Después de descubrir esta falla en uClibc en septiembre del año pasado, Nozomi informó de inmediato a CISA al respecto y luego informó sus hallazgos al Centro de Coordinación CERT en diciembre. Sin embargo, no fue hasta enero de este año que la empresa reveló la vulnerabilidad a los proveedores cuyos dispositivos podrían verse afectados por la falla.
Aunque actualmente no hay una solución disponible, los proveedores afectados y otras partes interesadas están trabajando juntos para desarrollar una solución. Sin embargo, una vez que un parche está listo, los usuarios finales deberán aplicarlo ellos mismos a sus dispositivos a través de actualizaciones de firmware, pero esto podría retrasar el tiempo que lleva reparar la vulnerabilidad de forma permanente.
Vía BleepingComputer