COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Vulnerabilidad no parcheada en dispositivos IoT

Fecha de Publicación: Viernes, 13 de Mayo de 2022

Fuente: https://unaaldia.hispasec.com/2022/05/vulnerabilidad-en-dispositivos-iot.html

11 mayo, 2022 Por Antonio Tascón

Investigadores de Nozomi Networks han detectado una vulnerabilidad en varias versiones de la librería del lenguaje C uClibc. Esta está diseñada específicamente para OpenWRT, un sistema operativo para routers y es muy popular en dispositivos IoT. Se sabe que es usado por equipos de las marcas Linksys, Netgear y Axis. Estos estarían expuestos a un ataque de DNS poisoning.

DNS poisoning

Los servidores DNS se encargan de «traducir» URLs a sus direcciones IP correspondientes. En un ataque de DNS poisoning un agente malicioso manipula este servicio. Así, aunque la URL a la que se desea acceder sea perfectamente legítima, esta se traduce a una IP que no es la del sitio real.

Los dispositivos vulnerables podrían establecer comunicación con servidores controlados por atacantes. Esto puede provocar el robo de información, el bloqueo de las direcciones usadas por los dispositivos para aplicar actualizaciones de seguridad y la distribución de malware entre otros nada deseable efectos.

Análisis de la vulnerabilidad

Para que la respuesta a una petición DNS se acepte esta tiene que cumplir con ciertos parámetros. Estos son todos conocidos salvo el puerto de origen y un identificador de transacción. Para evitar que se pueda generar una respuesta falsa que sea aceptada cómo válida, ambos parámetros deben ser imposibles de predecir.

Analizando un dispositivo en su laboratorio los investigadores de Nozomi Networks descubrieron que este presentaba un patrón en los identificadores de transacción. Dichos identificadores eran correlativos hasta alcanzar un cierto valor y a continuación volvían a presentar valores incrementales, dando lugar a la vulnerabilidad.

Captura de Wireshark mostrando la vulnerabilidad.

Valores correlativos en el identificador de transacción de peticiones DNS. Fuente Nozomi Networks.

Este comportamiento proviene de la implementación de la librería uClibc, que gestiona las peticiones DNS. Una vez que se puede predecir el identificador de transacción, para explotar la vulnerabilidad, un atacante debería generar una respuesta con el puerto de origen correcto y que llegue al dispositivo antes que la respuesta legítima del servidor DNS.

La vulnerabilidad permanece sin resolver. Los investigadores de Nozomi Networks están trabajando con la persona que mantiene la librería, junto con la comunidad de desarrolladores para intentar encontrar una solución.

Más información:

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2022/05/unfixed-vulnerability-in-popular-library-puts-iot-products-at-risk/

https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-dns-bug-in-popular-c-standard-library-putting-iot-at-risk/

https://www.keyfactor.com/blog/what-is-dns-poisoning-and-dns-spoofing/

Noticias Anteriores