imágenes falsas
Los fabricantes de hardware y software se esfuerzan por determinar si sus productos sufren una vulnerabilidad crítica descubierta recientemente en bibliotecas de códigos de terceros utilizadas por cientos de proveedores, incluidos Netgear, Linksys, Axis y la distribución de Linux integrada Gentoo.
La falla hace posible que los piratas informáticos con acceso a la conexión entre un dispositivo afectado e Internet envenenen las solicitudes de DNS utilizadas para traducir dominios a direcciones IP, investigadores de la firma de seguridad Nozomi Networks. dijo el lunes. Al alimentar un dispositivo vulnerable con direcciones IP fraudulentas repetidamente, los piratas informáticos pueden obligar a los usuarios finales a conectarse a servidores maliciosos que se hacen pasar por Google u otro sitio confiable.
La vulnerabilidad, que se reveló a los proveedores en enero y se hizo pública el lunes, reside en uClibc y horquilla uClibc uClibc-ng, los cuales brindan alternativas a la biblioteca C estándar para Linux incorporado. Nozomi dijo que 200 proveedores incorporan al menos una de las bibliotecas en productos que, según el mantenedor uClibc-ng
La vulnerabilidad y la falta de un parche subrayan un problema con las bibliotecas de códigos de terceros que ha empeorado durante la última década. Muchos de ellos, incluso aquellos como la biblioteca de criptografía OpenSSL que se usa ampliamente para proporcionar funciones de seguridad cruciales, se enfrentan a problemas de financiación que dificultan el descubrimiento y la reparación de vulnerabilidades de seguridad.
“Desafortunadamente, no pude solucionar el problema por mí mismo y espero que alguien de la pequeña comunidad se intensifique”, escribió el mantenedor de uClibc-ng en un foro abierto discutiendo la vulnerabilidad. uClibc, por su parte, no se ha actualizado desde 2010, según el página de descargas para la biblioteca
¿Qué es el envenenamiento de DNS, de todos modos?
El envenenamiento de DNS y su pariente envenenamiento de caché de DNS permiten a los piratas informáticos reemplazar la búsqueda de DNS legítima para un sitio como google.com o Heaven32, normalmente 209.148.113.38 y 18.117.54.175 respectivamente, con direcciones IP maliciosas que pueden hacerse pasar por esos sitios. mientras intentan instalar malware, robar contraseñas o llevar a cabo otras acciones nefastas.
Primero descubierto en 2008 por el investigador Dan Kaminsky, el envenenamiento de DNS requiere que un hacker primero se haga pasar por un servidor DNS autorizado y luego lo use para inundar un sistema de resolución de DNS dentro de un ISP o dispositivo con resultados de búsqueda falsos para un dominio confiable. Cuando la dirección IP fraudulenta llega antes que la legítima, los usuarios finales se conectan automáticamente al sitio impostor. El truco funcionó porque la transacción única asignada a cada búsqueda era lo suficientemente predecible como para que los atacantes pudieran incluirla en respuestas falsas.
Los arquitectos de Internet solucionaron el problema cambiando el número de puerto de origen utilizado cada vez que un usuario final busca el número de IP de un dominio. Mientras que antes las búsquedas y las respuestas viajaban solo por el puerto 53, el nuevo sistema aleatorizó el número de puerto que usan las solicitudes de búsqueda. Para que una resolución de DNS acepte una dirección IP devuelta, la respuesta debe incluir ese mismo número de puerto. Combinada con un número de transacción único, la entropía se midió en miles de millones, lo que hace que sea matemáticamente inviable que los atacantes aterricen en la combinación correcta.
La vulnerabilidad en uClibc y uClibc-ng se deriva de la previsibilidad del número de transacción que las bibliotecas asignan a una búsqueda y su uso estático del puerto de origen 53. Los investigadores de Nozomi, Giannis Tsaraias y Andrea Palanca, escribieron:
Dado que el ID de la transacción ahora es predecible, para explotar la vulnerabilidad, un atacante necesitaría crear una respuesta DNS que contenga el puerto de origen correcto, así como también ganar la carrera contra la respuesta DNS legítima proveniente del servidor DNS. La explotabilidad del problema depende exactamente de estos factores. Como la función no aplica ninguna aleatorización explícita del puerto de origen, es probable que el problema se pueda explotar fácilmente de manera confiable si el sistema operativo está configurado para usar un puerto de origen fijo o predecible.
Nozomi dijo que no estaba enumerando los proveedores específicos, los modelos de dispositivos o las versiones de software que se ven afectados para evitar que los piratas informáticos exploten la vulnerabilidad en la naturaleza. “Sin embargo, podemos revelar que se trataba de una gama de dispositivos IoT conocidos que ejecutaban las últimas versiones de firmware con una alta probabilidad de que se implementen en toda la infraestructura crítica”, escribieron los investigadores.
El lunes, Netgear emitió un aviso diciendo que la compañía está al tanto de las vulnerabilidades de la biblioteca y está evaluando si alguno de sus productos se ve afectado.
“Todos los productos de Netgear utilizan la aleatorización del puerto de origen y actualmente no tenemos conocimiento de ningún exploit específico que pueda usarse contra los productos afectados”, dijo el fabricante del dispositivo. Los representantes de Linksys y Axis no respondieron de inmediato a los correos electrónicos que les preguntaban si sus dispositivos eran vulnerables.
Sin más detalles, es difícil proporcionar una guía de seguridad para evitar esta amenaza. Las personas que usan un dispositivo potencialmente afectado deben monitorear los avisos de los proveedores para obtener actualizaciones durante la próxima semana o dos.