PDA

View Full Version : Dispositivi IoT a rischio DNS Poisoning: c'è una falla in una diffusa libreria C


Redazione di Hardware Upg
04-05-2022, 10:01
Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/dispositivi-iot-a-rischio-dns-poisoning-c-e-una-falla-in-una-diffusa-libreria-c_106865.html

Una libreria C utilizzata in moltissimi dispositivi IoT e distribuzioni Linux per applicazioni embedded contiene una vulnerabilità che può portare ad azioni di DNS Poisoning con esiti anche particolarmente gravi

Click sul link per visualizzare la notizia.

bancodeipugni
04-05-2022, 10:41
tradotto da:
https://securityboulevard.com/2022/05/nozomi-networks-discovers-unpatched-dns-bug-in-popular-c-standard-library-putting-iot-at-risk/

che descrive in modo più dettagliato la cosa, con anche file e pezzo di codice incriminato

per ovviare alla cosa bisogna evitare di usare i dns relay interni del router e impostarli direttamente sulle macchine o farli impostare al dhcp

il problema alla fine si ridurrebbe solo alle richieste dns che il router da solo fa verso l'esterno (aggiornamenti, segnale orario, cose cosi'...)

...bella pezza perchè praticamente quasi tutti i router casalinghi sono messi cosi' (mi sembra pero' che le ultime versioni di openwrt usino direttamente libc)

sisko214
04-05-2022, 11:00
Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing.
Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.

bancodeipugni
04-05-2022, 12:37
bella la risposta del curatore del codice "speriamo nella risposta della community" :asd:

zappy
04-05-2022, 16:20
il problema alla fine si ridurrebbe solo alle richieste dns che il router da solo fa verso l'esterno (aggiornamenti, segnale orario, cose cosi'...)
hai detto niente...

zappy
04-05-2022, 16:21
Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing.
Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.
concordo.
pigliano lavoro open, lo sbattono nel loro schifo di firmware closed, e vendono prodotti in cui non puoi nemmeno mettere le mani... :muro:

bancodeipugni
05-05-2022, 10:49
gli aggiornamenti autoaggiornanti vanno disattivati subito (il mio non ce l'ha ma ti avvisa, il che potrebbe attirare facilmente in tranelli...) il fatto è che su alcuni non puoi neanche tirarlo via se non con artifici laboriosi (vedi router forniti da isp stessi)

le mani gliele puoi anche mettere, ma sperare che la gente a casa risolva i problemi presenti sulle tue macchine, è come portare la macchina rotta anzichè dal meccanico a casa di un altro, praticone, che ce l'ha uguale :fagiano:

zappy
05-05-2022, 17:47
...le mani gliele puoi anche mettere, ma sperare che la gente a casa risolva i problemi presenti sulle tue macchine, è come portare la macchina rotta anzichè dal meccanico a casa di un altro, praticone, che ce l'ha uguale :fagiano:
intendevo che usano roba open per fare roba closed, per cui spendono poco e poi non documentano e non aggiornano nè permettono a te (se sai farlo) di aggiornare.
poi ovvio che non è che la signora pina si mette a sostituire il kernel al router... ma che ci sia la possibilità è cosa diversa dal doverlo fare da soli per forza. E' una opportunità.

aqua84
05-05-2022, 18:08
Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing.
Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.

ma che discorsi sono??

come puoi metterti a fare qualunque tipo di test??
potrebbero volerci anni prima di "scovare" qualcosa come non arrivare mai a niente.
e nel frattempo aspetti?

hai presente Spectre e Meltdown, tanto per fare un esempio?
vulnerabilità "scoperte" ai giorni nostri che riguardano anche prodotti di 10-15 anni fa.

potevano scoprirle 10-15 anni fa?
boh, forse si, forse no...

bancodeipugni
05-05-2022, 19:39
basta pagà
:sofico:

netgear mette le taglie ai bug di sicurezza in base alla gravità e urgenza

..il problema è che le mettono dopo che è uscito il fix, per cui :sofico: