Roteadores e dispositivos conectados, incluindo câmeras de rede de empresas como Netgear, Linksys e Axis, bem como aqueles que usam distribuições Linux, como Embedded Gentoo, são afetados por uma falha de envenenamento do sistema de nomes de domínio (DNS) que existe em duas bibliotecas populares usadas para dispositivos conectados. Os modelos exatos afetados pela vulnerabilidade não são revelados pelos pesquisadores que descobriram a sua existência, uma vez que a lacuna ainda não foi corrigida. No entanto, as bibliotecas vulneráveis têm sido usadas por um grande número de fornecedores, incluindo alguns dos renomados fabricantes de roteadores e dispositivos de Internet das Coisas (IoT).
Os pesquisadores da empresa de segurança de TI Nozomi Networks disseram que a implementação de DNS de todas as versões das bibliotecas uClibc e uClibc-ng carregava a falha de envenenamento de DNS que um invasor pode explorar para redirecionar usuários para servidores maliciosos e roubar as informações compartilhadas pelos dispositivos afetados. O problema foi descoberto pela primeira vez no ano passado e divulgado a mais de 200 fornecedores em janeiro.
Embora o uClibc tenha sido usado por fornecedores como Netgear, Linksys e Axis e faça parte de distribuições Linux como o Embedded Gentoo, o uClibc-ng é um fork projetado para OpenWRT – o popular sistema operacional de código aberto para roteadores. Isso mostra o extenso escopo da falha que pode impactar um grande número de usuários ao redor do mundo.
A vulnerabilidade em ambas as bibliotecas permite que invasores prevejam um parâmetro chamado ID de transação, que normalmente é um número exclusivo por solicitação gerada pelo cliente para proteger a comunicação por meio de DNS.
Numa situação normal, se o ID da transação não estiver disponível ou for diferente do gerado no lado do cliente, o sistema descarta a resposta. No entanto, como a vulnerabilidade traz previsibilidade do ID da transação, um invasor pode prever o número para eventualmente falsificar o DNS legítimo e redirecionar as solicitações para um servidor Web falso ou site de phishing.
Os pesquisadores também observaram que os ataques de envenenamento de DNS também permitem que os invasores iniciem ataques Man-in-the-Middle subsequentes que podem ajudá-los a roubar ou manipular informações transmitidas pelos usuários ou até mesmo comprometer os dispositivos que transportam as bibliotecas vulneráveis.
“Como esta vulnerabilidade permanece sem correção, para a segurança da comunidade não podemos divulgar os dispositivos específicos em que testamos. Podemos, no entanto, divulgar que eram uma série de dispositivos IoT bem conhecidos executando as versões de firmware mais recentes com uma grande chance de eles sendo implantados em todas as infraestruturas críticas”, disse Andrea Palanca, pesquisadora de segurança da Nozomi Networks.
O mantenedor do uClibc-ng escreveu em um fórum aberto que não foi capaz de corrigir o problema. Da mesma forma, uClibc não recebe atualização desde 2010, conforme detalhes disponíveis na página de downloads da biblioteca, conforme noticiado pela Ars Technica.
No entanto, os fornecedores de dispositivos estão atualmente trabalhando para avaliar o problema e seu impacto.
A Netgear emitiu um comunicado reconhecendo o impacto da vulnerabilidade em seus dispositivos.
“A Netgear está ciente da divulgação de uma vulnerabilidade de segurança em todo o setor nas bibliotecas C incorporadas uClibc e uClibc-ng que afeta alguns produtos. A Netgear está avaliando quais produtos são afetados. Todos os produtos Netgear usam randomização de porta de origem e atualmente não temos conhecimento de qualquer exploração específica que possa ser usada contra os produtos afetados”, disse a empresa.
Também garantiu que continuaria a investigar o problema e, se uma correção estivesse disponível no futuro, avaliaria se a correção é aplicável aos produtos Netgear afetados.
O Gadgets 360 também entrou em contato com fornecedores, incluindo Linksys e Axis, para obter comentários sobre a falha e atualizará este artigo quando eles responderem.
source – www.gadgets360.com
