Onderzoekers ontdekten dat een niet-gepatcht Domain Name System (DNS)-probleem in een populaire standaard C-bibliotheek kan worden gebruikt om DNS-vergiftigingsaanvallen uit te voeren op miljoenen IoT-apparaten en routers, waardoor aanvallers mogelijk de controle over deze apparaten kunnen overnemen.
Onderzoekers van Nozomi Networks Labs hebben een probleem ontdekt dat van invloed is op de implementatie van DNS in alle versies van uClibc en uClibc-ng, prominente C-standaardbibliotheken die worden gebruikt in een breed scala aan IoT-producten, volgens een blogpost deze week gepubliceerd.
Een aanvaller misleidt een DNS-client zodat hij een vervalst antwoord accepteert bij een DNS-vergiftigingsaanval, ook wel bekend als DNS-spoofing of DNS-cachevergiftiging. Dit dwingt software om via het netwerk te communiceren met een willekeurig eindpunt in plaats van met het echte eindpunt.
Omdat belangrijke leveranciers zoals Linksys, Netgear en Axis, evenals Linux-distributies zoals Embedded Gentoo, uClibe in hun apparaten gebruiken, heeft het probleem een groot bereik. uClibc-ng daarentegen is een fork die specifiek bedoeld is voor OpenWRT, een veelgebruikt besturingssysteem voor routers die in verschillende kritieke infrastructuursectoren worden ingezet, aldus onderzoekers. De impact van de bug op specifieke apparaten is niet onthuld als onderdeel van dit onderzoek.
Bovendien waarschuwden experts dat als een aanvaller met succes een DNS-vergiftigingsaanval uitvoert op een getroffen apparaat, hij of zij een man-in-the-middle-aanval kan lanceren. Dit komt omdat ze netwerkcommunicatie kunnen omleiden naar een server onder hun controle door DNS-records te vergiftigen, aldus onderzoekers.
"De aanvaller zou dan informatie kunnen stelen en/of manipuleren die door gebruikers is verzonden, en andere aanvallen op die apparaten kunnen uitvoeren om ze volledig te compromitteren", schreven onderzoekers. "Het belangrijkste probleem hier is hoe DNS-vergiftigingsaanvallen een geverifieerde reactie kunnen afdwingen."
Onderzoekers werken momenteel samen met de ontwikkelaar van de uClibe-bibliotheek om een oplossing te vinden voor de fout, waardoor apparaten vatbaar zijn, aldus de onderzoekers. Om aanvallers op afstand te houden, hebben Nozomi-onderzoekers geweigerd gedetailleerde gegevens vrij te geven over het apparaat waarop ze de bug konden reproduceren.
Het DNS-gat herinnert ons aan de Log4Shell-fout van vorig jaar, die vanwege de omvang ervan in december voor veel onrust zorgde in de cybersecurity-industrie toen deze werd ontdekt. Het probleem heeft betrekking op het veelgebruikte open-source Apache Log4j-framework, dat wordt gebruikt in een breed scala aan Java-applicaties. Volgens een recent rapport blijft het probleem, ondanks het bestaan van een patch, miljoenen Java-programma's in gevaar brengen.
Ondanks het feit dat het een uiteenlopende reeks doelen treft, heeft het DNS-probleem volgens onderzoekers een brede reikwijdte, niet alleen vanwege de apparaten die het kan beïnvloeden, maar ook vanwege de intrinsieke noodzaak van DNS voor elk apparaat dat via IP is verbonden.
DNS is een hiërarchische database die verantwoordelijk is voor het vertalen van een domeinnaam naar het bijbehorende IP-adres. Afgezien van de normale vijfvoudige bron-IP, bronpoort, bestemmings-IP, bestemmingspoort, protocol en de query, bevat elk DNS-verzoek een veld met de naam 'transactie-ID' om de antwoorden van verschillende DNS-vragen te onderscheiden.
Het transactie-ID is een uniek nummer dat door de klant wordt geproduceerd en wordt vermeld in elk verzonden verzoek. Het moet in een DNS-antwoord worden opgenomen voordat de klant het als het juiste antwoord op het verzoek accepteert, aldus de onderzoekers.
De zwakte werd volgens de onderzoekers ontdekt bij het bestuderen van het spoor van DNS-verzoeken van een IoT-apparaat. Ze hebben iets ongewoons waargenomen in het patroon van DNS-verzoeken in de uitvoer van Wireshark. De transactie-ID van het verzoek was aanvankelijk incrementeel, vervolgens opnieuw ingesteld op 0x2 en vervolgens weer incrementeel.
"Tijdens het debuggen van het gerelateerde uitvoerbare bestand, waarbij we probeerden de oorzaak te begrijpen, merkten we uiteindelijk dat de code die verantwoordelijk is voor het uitvoeren van de DNS-verzoeken geen deel uitmaakte van de instructies van het uitvoerbare bestand zelf, maar deel uitmaakte van de C-standaardbibliotheek die in gebruik is, namelijk uClibc 0.9.33.2,” legden ze uit.
De uClibc-bibliotheek implementeert DNS-verzoeken door een beroep te doen op de interne ‘__dns lookup’-functie, die zich in het bronbestand ‘/libc/inet/resolv.c’ bevindt, aldus de onderzoekers. Onderzoekers verklaarden dat ze uiteindelijk een fout ontdekten in bepaalde coderegels van de bibliotheek, met name regels #1240, #1260, #1309, #1321 en #1335, waaraan ze de afwijking in het DNS-verzoekpatroon konden toeschrijven, waardoor de transactie ID voorspelbaar.
Om deze zwakte te misbruiken, zou een aanvaller een DNS-antwoord moeten ontwerpen dat de juiste bronpoort heeft, en ook de race moeten winnen tegen het legale DNS-antwoord dat binnenkomt vanaf de DNS-server, aldus de onderzoekers.
De mogelijkheid om de zwakte te misbruiken hangt ook af van de manier waarop een besturingssysteem omgaat met de randomisatie van de bronpoorten, wat betekent dat een aanvaller de 16-bits bronpoortwaarde bruut zou moeten forceren door herhaalde DNS-query's te verzenden en tegelijkertijd de legitieme DNS-reactie te verslaan, aldus de onderzoekers.
Omdat het probleem nog steeds op miljoenen IoT-apparaten is opgelost, maken onderzoekers niet bekend welke individuele apparaten kwetsbaar zijn voor aanvallen. Ondertussen adviseert Nozomi Networks netwerkbeheerders in zowel IT- als operationele technologiecontexten om de zichtbaarheid en beveiliging van het netwerk te verbeteren.
"Deze kwetsbaarheid is nog steeds niet gepatcht, maar we werken samen met de beheerder van de bibliotheek en de bredere gemeenschap om een oplossing te vinden", schreven ze.
