El equipo de investigación de Nozomi Networks Labs descubrió un error del Sistema de nombres de dominio (DNS) de uClibc y uClibc-ng, sin parches a la fecha, que puede ser usado por agentes maliciosos para ataques de envenenamiento DNS o también en suplantación DNS. La vulnerabilidad (CVE-2022-05-02, ICS-VU-638779, VU#473698) está presente en todas las versiones de uClibc y uClibc-ng, lo que pone en riesgo a varios dispositivos IoT y enrutadores.
uClibc y uClibc-ng son dos bibliotecas estándar de C, que pueden generar solicitudes de DNS para las búsquedas, traducción de nombres de dominio a direcciones IP, muy útil en dispositivos IoT. Por nombrar algunos escenarios uClibc es utilizada por proveedores como Linksys, Netgear y Axis, para el desarrollo de sistemas Linux integrados. Así también uClibc-ng fue diseñada especialmente para OpenWRT, un sistema operativo de enrutadores web.
Para entender la vulnerabilidad se debe saber que, toda solicitud DNS incluye: IP de origen, puerto de origen, IP de destino, puerto de destino, protocolo, junto con el «ID de transacción», un número único con el que se cumple o no la condición para iniciar la conexión a la IP proporcionada por el servidor DNS. Los investigadores descubrieron que se puede visualizar o fácilmente predecir los ID de transacción de las solicitudes de DNS generados por las bibliotecas uClibc.
Una vez que el atacante tiene el ID de transacción, puede crear una respuesta DNS con el puerto de origen correcto, que puede obtener por fuerza bruta, y lograr que dicha respuesta llegue con mayor velocidad que la respuesta DNS real de un servidor legítimo.
Pese a ser alto el riesgo, Nozomi Networks no ha revelado los dispositivos afectados, debido a que el desarrollador de la biblioteca no ha podido solucionar el error, es decir no se tiene parches disponibles, adicional a esto una vez que se tenga un parche disponible cada proveedor afectado deberá aplicar dicho parche a las actualizaciones de sus respectivos firmwares, por lo que se espera que los correctivos tomen tiempo en aplicarse.
Recomendaciones
Nozomi Networks advirtió que la vulnerabilidad podría explotarse trivialmente de manera confiable si el sistema operativo se configura para usar un puerto de origen fijo o predecible.
Los usuarios de dispositivos IoT y enrutadores deben estar atentos a las nuevas versiones de firmware de los proveedores y aplicar las últimas actualizaciones tan pronto como estén disponibles. Por ahora se debe aumentar la visibilidad y la seguridad de la red tanto en entornos de TI como de OT.
Para mayor información:
- https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-dns-bug-in-popular-c-standard-library-putting-iot-at-risk/
- https://threatpost.com/dns-bug-millions-routers-iot-risk/179478/?utm_source=dlvr.it&utm_medium=linkedin
- https://www.bleepingcomputer.com/news/security/unpatched-dns-bug-affects-millions-of-routers-and-iot-devices/
- https://portswigger.net/daily-swig/zero-day-bug-in-uclibc-library-could-leave-iot-devices-vulnerable-to-dns-poisoning-attacks