Çok çeşitli IoT ürünlerinde ve yönlendiricilerinde bulunan popüler bir C standart kitaplığındaki yama uygulanmamış bir güvenlik açığı, milyonlarca cihazı saldırı riskine atabilir.
CVE-2022-05-02 olarak izlenen ve Nozomi Networks tarafından keşfedilen güvenlik açığı, uClibc kitaplığının alan adı sistemi (DNS) bileşeninde ve OpenWRT ekibinin uClibc-ng çatalında bulunuyor. Hem uClibc hem de uClibc-ng, Netgear, Axis, Linksys ve diğer büyük satıcılar tarafından ve ayrıca gömülü uygulamalar için tasarlanmış Linux dağıtımlarında yaygın olarak kullanılmaktadır.
uClibc’nin DNS uygulaması, aramalar ve alan adlarını IP adreslerine çevirme dahil olmak üzere DNS ile ilgili istekleri gerçekleştirmek için bir mekanizma sağlar.
Şu anda, uClibc’nin geliştiricisi tarafından bir düzeltme mevcut değildir; bu, 200’den fazla satıcıya ait cihazların şu anda DNS zehirlenmesi veya potansiyel bir kurbanı saldırgan kontrollü bir sunucuda barındırılan kötü amaçlı bir web sitesine yönlendirebilecek DNS sahtekarlığı riski altında olduğu anlamına gelir.
DNS zehirlenmesi riski
Nozomi’deki güvenlik araştırmacıları, uClibc’deki güvenlik açığıyla ilk olarak, bağlı bir cihaz tarafından gerçekleştirilen DNS isteklerinin izlerini inceledikten sonra keşfettiler ve bu sırada kitaplığın dahili arama işlevinin neden olduğu çeşitli tuhaflıklar buldular. IoT güvenlik firması, daha fazla araştırma yaptıktan sonra, bu DNS arama isteklerinin işlem kimliklerinin tahmin edilebilir olduğunu ve bu nedenle belirli durumlarda DNS zehirlenmesinin mümkün olabileceğini keşfetti.
Nozomi Networks, bir Blog yazısı Bir saldırganın, savunmasız IoT cihazlarında ve yönlendiricilerinde DNS zehirlenmesi gerçekleştirerek neler başarabileceği konusunda şunları söyleyerek:
“Bir DNS zehirlenmesi saldırısı, sonraki Ortadaki Adam saldırılarına izin verir, çünkü saldırgan, DNS kayıtlarını zehirleyerek, ağ iletişimlerini kontrolleri altındaki bir sunucuya yeniden yönlendirebilir. Saldırgan daha sonra kullanıcılar tarafından iletilen bilgileri çalabilir ve/veya manipüle edebilir ve bu cihazlara karşı tamamen tehlikeye atmak için başka saldırılar gerçekleştirebilir. Buradaki ana sorun, DNS zehirlenmesi saldırılarının kimliği doğrulanmış bir yanıtı nasıl zorlayabileceğidir.”
Geçen yılın Eylül ayında uClibc’de bu kusuru keşfettikten sonra, Nozomi hemen CISA’yı bu konuda bilgilendirdi ve bulgularını Aralık ayında CERT Koordinasyon Merkezine bildirdi. Ancak, bu yılın Ocak ayına kadar firma, cihazları kusurdan etkilenebilecek satıcılara güvenlik açığını açıklamadı.
Şu anda bir düzeltme mevcut olmasa da, etkilenen satıcılar ve diğer paydaşlar bir yama geliştirmek için birlikte çalışıyor. Yine de, bir yama hazır olduğunda, son kullanıcıların bunu aygıt yazılımı güncellemeleri aracılığıyla cihazlarına uygulamaları gerekecek, ancak bu, güvenlik açığının tamamen düzeltilmesi için gereken süreyi geciktirebilir.
Aracılığıyla BleeBilgisayar