Uma falha no componente do sistema de nomes de domínio (DNS) pode colocar milhões de dispositivos IoT em risco de ataque de envenenamento de DNS. A vulnerabilidade atingiu exatamente o DNS de uma biblioteca padrão C popular que está presente em uma ampla variedade de produtos de IoT, deixando milhões de dispositivos vulneráveis.
Biblioteca afetada
A biblioteca uClibc e seu fork da equipe OpenWRT , uClibc-ng. Ambas as variantes são amplamente utilizadas pelos principais fornecedores como Netgear, Axis e Linksys, bem como distribuições Linux adequadas para aplicativos incorporados.
Um agente de ameaças pode usar envenenamento de DNS ou falsificação de DNS para redirecionar a vítima para um site malicioso hospedado em um endereço IP em um servidor controlado pelo invasor em vez do local legítimo.
O que é mais grave, é que, de acordo com pesquisadores da Nozomi Networks, uma correção não está disponível no momento do desenvolvedor do desenvolvedor do uClibc, deixando produtos de até 200 fornecedores em risco.
Detalhes da vulnerabilidade
A biblioteca uClibc é uma biblioteca padrão C para sistemas embarcados que oferece diversos recursos necessários para funções e modos de configuração nesses dispositivos. A implementação do DNS nessa biblioteca fornece um mecanismo para realizar solicitações relacionadas ao DNS, como pesquisas, tradução de nomes de domínio para endereços IP, e muito mais.
De acordo com o BleepingComputer, Nozomi revisou o rastreamento de solicitações de DNS realizadas por um dispositivo conectado usando a biblioteca uClibc e encontrou algumas peculiaridades causadas por uma função de pesquisa interna. Depois de investigar mais, os analistas descobriram que o ID de transação da solicitação de pesquisa de DNS era previsível. Por causa disso, o envenenamento de DNS pode ser possível em determinadas circunstâncias.
Falha de DNS afeta roteadores e dispositivos IoT
Se o sistema operacional não usar a randomização da porta de origem, ou se o fizer, mas o invasor ainda for capaz de forçar o valor da porta de origem de 16 bits, uma resposta de DNS especialmente criada enviada para dispositivos usando uClibc pode desencadear um envenenamento de DNS ataque.
O envenenamento de DNS está praticamente enganando o dispositivo de destino para que ele aponte para um endpoint definido arbitrariamente e se envolva em comunicações de rede com ele. Ao fazer isso, o invasor poderá redirecionar o tráfego para um servidor sob seu controle direto.
Como mencionado acima, atualmente não há correção disponível para a falha, que agora é rastreada sob CVE-2022-05-02. Atualmente, todas as partes interessadas estão se coordenando para desenvolver um patch viável e espera-se que a comunidade desempenhe um papel fundamental nisso, pois esse foi exatamente o objetivo da divulgação, aponta o BleepingComputer.
Os usuários de dispositivos IoT e roteadores devem ficar de olho nas novas versões de firmware dos fornecedores e aplicar as atualizações mais recentes assim que estiverem disponíveis.
Via: BleepingComputer
