Çok çeşitli IoT ürünlerinde bulunan popüler bir C standart kütüphanesinin Alan Adı Sistemi (DNS) bileşeninde bir güvenlik açığı, DNS zehirleme saldırısı riskine milyonlarca cihazı koyabilir.
Bir tehdit oyuncusu, kurbanı meşru konum yerine saldırgan tarafından kontrol edilen bir sunucuda bir IP adresinde barındırılan kötü amaçlı bir web sitesine yönlendirmek için DNS zehirlenmesi veya DNS sahte kullanabilir.
Kütüphane UCLIBC ve çatalı OpenWRT ekibi UCLIBC-NG. Her iki varyant da netgear, eksen ve linksys gibi büyük satıcılar ve gömülü uygulamalar için uygun Linux dağıtımları tarafından yaygın olarak kullanılır.
Nozomi Networks'teki araştırmacılara göre, şu anda UCliBC geliştiricisinden bir düzeltme mevcut değil ve 200'e kadar satıcının ürünlerini riske atıyor.
UCLIBC kitaplığı, bu cihazlarda işlevler ve yapılandırma modları tarafından ihtiyaç duyulan çeşitli kaynakları sunan gömülü sistemler için C standart bir kütüphanedir.
Bu kütüphanedeki DNS uygulaması, DNS ile ilgili istekleri aramalar, etki alanı adlarını IP adreslerine çevirme vb.
Nozomi, UCliBC kütüphanesini kullanarak bağlı bir cihaz tarafından gerçekleştirilen DNS isteklerinin izini gözden geçirdi ve dahili bir arama işlevinin neden olduğu bazı özellikler buldu.
Daha fazla araştırdıktan sonra, analistler DNS Arama İsteğinin İşlem Kimliğinin öngörülebilir olduğunu keşfettiler. Bu nedenle, DNS zehirlenmesi belirli koşullar altında mümkün olabilir.
İşletim sistemi kaynak bağlantı noktası randomizasyonu kullanmıyorsa veya eğer varsa, ancak saldırgan hala 16 bit kaynak bağlantı noktası değerini kabartı yapabilirse, UCliBC kullanan cihazlara gönderilen özel hazırlanmış bir DNS yanıtı bir DNS zehirlenmesini tetikleyebilir saldırı.
DNS zehirlenmesi, hedef cihazı pratik olarak keyfi olarak tanımlanmış bir uç noktaya işaret etmeye ve BT ile ağ iletişimine girmeye işaret ediyor.
Bunu yaparak, saldırgan trafiği doğrudan kontrolleri altındaki bir sunucuya yönlendirebilir.
"Saldırgan daha sonra kullanıcılar tarafından iletilen bilgileri çalabilir veya manipüle edebilir ve bu cihazlara karşı tamamen tehlikeye atmak için diğer saldırıları gerçekleştirebilir. Buradaki ana sorun, DNS zehirlenme saldırılarının kimlik doğrulamalı bir yanıtı nasıl zorlayabileceğidir" -Nozomi Networks
Nozomi, Eylül 2021'de kusuru keşfetti ve Cisa'yı bu konuda bilgilendirdi. Daha sonra, Aralık ayında CERT Koordinasyon Merkezi'ne bildirdi ve son olarak, Ocak 2022'de, potansiyel olarak etkilenen 200'den fazla satıcıya karşı savunmasızlığı açıkladı.
Yukarıda belirtildiği gibi, şu anda ICS-VU-638779 ve VU#473698 (henüz CVE yok) altında izlenen kusur için mevcut bir düzeltme yoktur.
Şu anda, tüm paydaşlar uygulanabilir bir yama geliştirmek için koordine ediyorlar ve topluluğun bu konuda çok önemli bir rol oynaması bekleniyor, çünkü bu tam olarak açıklamanın amacıdır.
Etkilenen satıcılar, ürün yazılımı güncellemelerine yeni UCliBC sürümünü uygulayarak yamayı uygulamak zorunda kalacağından, düzeltmelerin son tüketicilere ulaşması biraz zaman alacaktır.
O zaman bile, son kullanıcılar, kritik güvenlik kusurlarının düzeltilmesinde gecikmelere neden olan başka bir boğucu noktası olan cihazlarına ürün yazılımı güncellemelerini uygulamak zorunda kalacaklar.
Nozomi, "Bu güvenlik açığı açılmadan kaldığı için, topluluğun güvenliği için test ettiğimiz belirli cihazları açıklayamayız" diyor.
"Bununla birlikte, en son ürün yazılımı sürümlerini çalıştıran bir dizi iyi bilinen IoT cihazları olduğunu açıklayabiliriz.
IoT ve yönlendirici cihazlarının kullanıcıları, satıcılardan yeni ürün yazılımı sürümlerine dikkat etmeli ve en son güncellemeleri kullanılabilir hale gelir gelmez uygulamalıdır.
Synology çoklu ürünlerde kritik netatalk hataları uyarıyor
Magniber Ransomware Gang artık saldırılarda Internet Explorer kusurlarından yararlanıyor
Erişim: 7 güvenlik açığı tıbbi ve IoT cihazlarını etkiler
Log4J: Korunmasız ürünlerin ve satıcı danışmanlarının listesi
Çevrimiçi Kütüphane Uygulaması Onleihe Siber Saldırıdan Sonra Sorunları Sağlayıcıda
Kaynak: Bleeping Computer