Site icon Cyberdian Groupe, Cabinet de Conseil en Cybersécurité

Les failles DNS non corrigées mettent en danger des millions de routeurs et d’appareils IoT.

DNS ddos attack

Une faille dans toutes les versions des bibliothèques standard C populaires uClibe et uClibe-ng pourrait permettre des attaques d’empoisonnement DNS contre des appareils ciblés.

Les chercheurs ont découvert qu’une vulnérabilité non corrigée du système de noms de domaine (DNS) dans une bibliothèque C standard populaire pourrait permettre aux attaquants de lancer des attaques d’empoisonnement DNS sur des millions d’appareils et de routeurs IoT, en prenant potentiellement le contrôle d’eux.

Dans un article de blog cette semaine, des chercheurs de Nozomi Networks Labs ont révélé des failles affectant la mise en œuvre du DNS dans toutes les versions de uClibc et uClibc-ng, la bibliothèque C standard populaire dans de nombreux produits IoT.

De nombreux appareils sont concernés

La portée de la vulnérabilité est vaste, avec des fournisseurs majeurs tels que Linksys, Netgear et Axis, ainsi que des distributions Linux telles que Embedded Gentoo, utilisant uClibe dans leurs appareils. Pendant ce temps, les chercheurs affirment que uClibc-ng est un fork spécialisé d’OpenWRT, un système d’exploitation à usage général pour les routeurs déployés dans diverses zones d’infrastructure critiques. Les appareils spécifiques affectés par la vulnérabilité n’ont pas été divulgués dans le cadre de cette recherche.

De plus, si un attaquant mène une attaque d’empoisonnement DNS réussie sur un appareil affecté, il peut également effectuer une attaque ultérieure par l’homme du milieu, ont déclaré les chercheurs. En fait, en empoisonnant les enregistrements DNS, ils peuvent rediriger le trafic réseau vers les serveurs qu’ils contrôlent, ont déclaré les chercheurs.

« Un attaquant peut alors voler et/ou manipuler les informations soumises par l’utilisateur et effectuer d’autres attaques sur ces appareils pour les compromettre complètement », ont écrit les chercheurs. « La principale question ici est de savoir comment les attaques d’empoisonnement DNS imposent une réponse authentifiée ».

Les chercheurs travaillent actuellement avec le responsable de la bibliothèque uClibe pour développer un correctif pour la vulnérabilité, ce qui rendrait l’appareil vulnérable, ont-ils déclaré. Pour cette raison, les chercheurs de Nozomi ont refusé de divulguer les spécificités des appareils sur lesquels ils ont pu répliquer la vulnérabilité pour bloquer les attaquants, ont-ils déclaré.

DNS comme cible

La nouvelle de la vulnérabilité DNS rappelle la vulnérabilité Log4Shell de l’année dernière, qui a attiré l’attention de la communauté de la cybersécurité en raison de sa taille lors de sa découverte en décembre. La vulnérabilité affecte le framework Apache Log4j open source omniprésent, qui est présent dans d’innombrables applications Java utilisées sur Internet. En fait, un rapport récent montre que la vulnérabilité continue de mettre en danger des millions d’applications Java, malgré l’existence de correctifs pour la vulnérabilité.

Bien qu’elle affecte un ensemble diversifié de cibles, la portée de la faille DNS est large, non seulement en raison des appareils qu’elle peut affecter, mais aussi en raison de l’importance inhérente du DNS pour tout appareil connecté via IP, ont déclaré les chercheurs.

Le DNS est une base de données hiérarchique dont le but principal est de traduire les noms de domaine en leurs adresses IP associées. Afin de distinguer les réponses aux différentes requêtes DNS au-delà des 5 tuples habituels (IP source, port source, IP de destination, port de destination, protocole) et des requêtes, chaque requête DNS contient un paramètre appelé « ID de transaction ».

L’ID de transaction est un numéro unique pour chaque demande, généré par le client et ajouté à chaque demande envoyée. Les chercheurs ont noté qu’il doit être inclus dans la réponse DNS pour être accepté par le client comme valide pour la requête.

« En raison de sa pertinence, le DNS peut être une cible précieuse pour les attaquants », ont-ils observé.

Vulnérabilités et exploits

Les chercheurs ont découvert la faille en examinant les traces des requêtes DNS effectuées par les appareils IoT, ont-ils déclaré. Ils ont remarqué des anomalies dans le modèle de requête DNS généré par Wireshark. L’ID de transaction demandé est d’abord incrémenté, puis réinitialisé à 0x2, puis incrémenté à nouveau.

« En déboguant les exécutables concernés, en essayant de trouver la cause racine, nous avons finalement remarqué que le code chargé d’effectuer la recherche DNS ne faisait pas partie des instructions de l’exécutable lui-même, mais faisait partie de la bibliothèque C standard utilisée, à savoir uClibc 0.9. 33,2 « , ont-ils expliqué.

Les chercheurs ont effectué un examen du code source et ont découvert que la bibliothèque uClibc implémentait des recherches DNS en appelant la fonction interne « __dns_lookup » dans le fichier source « /libc/inet/resolv.c ».

En fin de compte, ils ont trouvé des failles dans certaines lignes de code de la bibliothèque, en particulier les lignes # 1240, # 1260, # 1309, # 1321 et # 1335, auxquelles ils pouvaient attribuer des anomalies dans les modèles de requête DNS, ce qui permettait aux données. Selon les chercheurs , les ID de transaction sont prévisibles.

Cette prévisibilité crée une situation où un attaquant doit élaborer une réponse DNS qui inclut le port source correct et gagner une compétition avec des réponses DNS entrantes légitimes des serveurs DNS pour exploiter la vulnérabilité, ont déclaré les chercheurs.

« Si le système d’exploitation est configuré pour utiliser un port source fixe ou prévisible, ce problème est susceptible d’être facilement exploité de manière fiable », ont-ils expliqué.

L’exploitation de la vulnérabilité dépend également de la manière dont le système d’exploitation applique la randomisation du port source, ont ajouté les chercheurs, ce qui signifie qu’un attaquant devrait forcer brutalement la valeur du port source 16 bits en envoyant plusieurs réponses DNS tout en éliminant les réponses DNS légitimes.

Atténuation

Étant donné que la vulnérabilité est toujours présente sur des millions d’appareils IoT, elle ne révèle pas quels appareils spécifiques sont vulnérables, ont expliqué les chercheurs. Parallèlement, Nozomi Networks conseille les administrateurs réseau pour améliorer la visibilité et la sécurité de leurs réseaux dans les environnements informatiques et technologiques opérationnels.

« Cette vulnérabilité reste non corrigée, mais nous travaillons avec les responsables de la bibliothèque et la communauté au sens large pour trouver un correctif », ont-ils écrit.

Quitter la version mobile