Les chercheurs en cybersécurité ont révélé une vulnérabilité de sécurité non corrigée qui pourrait présenter un risque sérieux pour les produits IoT.
Le problème, qui a été initialement signalé en septembre 2021, affecte la mise en œuvre du système de noms de domaine (DNS) de deux bibliothèques C populaires appelées uClibc et uClibc-ng qui sont utilisés pour développer des systèmes Linux embarqués.
uClibc est connu pour être utilisé par les principaux fournisseurs tels que Linksys, Netgear et Axis, ainsi que par des distributions Linux comme Embedded Gentoo, exposant potentiellement des millions d’appareils IoT à des menaces de sécurité.
« La faille est causée par la prévisibilité des identifiants de transaction inclus dans les requêtes DNS générées par la bibliothèque, ce qui peut permettre aux attaquants d’effectuer des attaques d’empoisonnement DNS contre l’appareil cible », ont déclaré Giannis Tsaraias et Andrea Palanca de Nozomi Networks. mentionné dans un article du lundi.
L’empoisonnement DNS, également appelé DNS spoofing, est la technique de corruption d’un cache de résolution DNS – qui fournit aux clients l’adresse IP associée à un nom de domaine – dans le but de rediriger les utilisateurs vers des sites Web malveillants.
L’exploitation réussie du bogue pourrait permettre à un adversaire d’effectuer Man-in-the-Middle (MitM) attaque et corrompt le cache DNS, redirigeant efficacement le trafic Internet vers un serveur sous leur contrôle.
Nozomi Networks a averti que la vulnérabilité pourrait être trivialement exploitée de manière fiable si le système d’exploitation était configuré pour utiliser un port source fixe ou prévisible.
« L’attaquant pourrait alors voler et/ou manipuler les informations transmises par les utilisateurs, et effectuer d’autres attaques contre ces appareils pour les compromettre complètement », ont déclaré les chercheurs.