没有补丁?数百万路由器和物联网设备面临DNS中毒攻击
近日,物联网产品中广泛使用的一个C标准库的DNS组件曝出严重漏洞,数百万台物联网设备和路由器面临DNS中毒攻击风险。
攻击者可以使用DNS中毒或DNS欺骗方法将受害者重定向到攻击者控制的服务器上的IP地址而不是合法网站。
存在漏洞的库包括uClibc及OpenWRT团队的分叉版本uClibc-ng。这两种库都被Netgear、Axis和Linksys等主要供应商以及适合嵌入式应用程序的Linux发行版广泛使用。
据Nozomi Networks的研究人员透露,uClibc的开发人员目前无法提供修复程序,从而导致多达200家供应商的产品面临风险。
如果操作系统不启用源端口随机化,或者攻击者能够暴力破解16位源端口值,则使用uClibc发送到设备的特制DNS响应可能会触发DNS中毒攻击。
所谓DNS中毒攻击,就是诱使目标设备指向任意定义的端点并与之进行网络通信,攻击者将能够将流量重新路由到他们直接控制的服务器。
“然后攻击者可以窃取或操纵用户传输的信息,并对这些设备执行其他攻击以完全破坏它们。这里的主要问题是DNS中毒攻击如何强制进行身份验证响应。”Nozomi Networks
Nozomi于2021年9月发现了该漏洞,并通知了CISA。然后,在12月,Nozomi向CERT协调中心报告,最后在2022年1月向200多家可能受影响的供应商披露了该漏洞。
如上所述,目前该漏洞没有可用的修复程序,追踪代号为ICS-VU-638779和VU#473698(尚无CVE)。
目前,所有利益相关者正在协调开发一个可行的补丁,安全社区有望在其中发挥关键作用,这也正是漏洞披露的目的。
由于受影响的供应商必须通过在固件更新的方式打补丁,因此补丁程序需要一段时间才能到达最终消费者。
“因为这个漏洞仍未修补,为了社区的安全,我们不能透露我们测试过的具体设备,”Nozomi指出:“但是,我们可以透露,受影响的是一系列运行最新固件版本的知名物联网设备,它们很有可能被部署在所有关键基础设施中。”
物联网和路由器设备的用户应密切关注供应商发布的新固件,并在可用时立即更新。
参考链接:https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-dns-bug-in-popular-c-standard-library-putting-iot-at-risk/