ALLCORE_BLACK_TRANSPARANT

DNS-vergiftiging treft miljoenen routers en IoT-devices

Laptop computer and router device on the table

Miljoenen routers van Linksys en Netgear en andere IoT-producten worden geraakt door een nog niet verholpen dns-kwetsbaarheid. Beveiligingsonderzoekers van Nozomi Networks Labs ontdekten CVE-2022-05-02, een bug in de dns-implementatie in twee populaire C-bibliotheken. uClibc en uClibc-ng worden voornamelijk gebruikt in routers en IoT-producten.

111509 linksys vs netgear

De beheerder zegt dat het niet gelukt is zelf een oplossing te ontwikkelen. Daarom is het beveiligingslek met een wachttijd van 30 dagen uiteindelijk gepubliceerd, in de hoop dat iemand anders een fix weet te implementeren. Naast Netgear en Linksys gebruikt ook Axis Communications de uClibc-bibliotheek, evenals de Linux-distributie Embedded Gentoo. uClibc-ng is een fork die speciaal ontworpen is voor het router-os OpenWRT.

111507 figure 2 trace of dns requests
De transactie-id’s in de rode omlijning zijn voorspelbaar.

De kwetsbaarheid wordt veroorzaakt doordat de transactie-identificatienummers voorspelbaar zijn. Deze worden gegenereerd bij het verwerken van dns-verzoeken. Aanvallers kunnen door de transactie-id’s te achterhalen zogenaamde dns-vergiftiging uitvoeren. Als een gebruiker een webadres invoert wordt dan een onjuist ip-adres teruggestuurd.

111506 figure 3 dns lookup function111505 figure 4 dns lookup function
De waarde last_id kan door de aanvaller voorspeld en ingevuld worden.

Daardoor kunnen slachtoffers doorgestuurd worden naar kwaadaardige websites zonder het te merken. De aanvaller zou informatie kunnen stelen of manipuleren en verdere aanvallen uitvoeren op het apparaat. Het grootste probleem is dat het moeilijk te achterhalen is of het juiste of een vergiftigd ip-adres wordt teruggezonden.

Vanwege de ernst van de kwetsbaarheid en het ontbreken van een fix zijn er geen details bekend gemaakt over de geraakte apparaten.

Bron: Hardware.info