Dispositivi IoT a rischio DNS Poisoning: c'è una falla in una diffusa libreria C

Redazione di Hardware Upg · 04-05-2022, 11:01

Link alla notizia: https://www.hwupgrade.it/news/sicure...-c_106865.html

Una libreria C utilizzata in moltissimi dispositivi IoT e distribuzioni Linux per applicazioni embedded contiene una vulnerabilità che può portare ad azioni di DNS Poisoning con esiti anche particolarmente gravi

Click sul link per visualizzare la notizia.

bancodeipugni · 04-05-2022, 11:41

tradotto da:
https://securityboulevard.com/2022/0...g-iot-at-risk/

che descrive in modo più dettagliato la cosa, con anche file e pezzo di codice incriminato

per ovviare alla cosa bisogna evitare di usare i dns relay interni del router e impostarli direttamente sulle macchine o farli impostare al dhcp

il problema alla fine si ridurrebbe solo alle richieste dns che il router da solo fa verso l'esterno (aggiornamenti, segnale orario, cose cosi'...)

...bella pezza perchè praticamente quasi tutti i router casalinghi sono messi cosi' (mi sembra pero' che le ultime versioni di openwrt usino direttamente libc)

sisko214 · 04-05-2022, 12:00

Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing.
Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.

bancodeipugni · 04-05-2022, 13:37

bella la risposta del curatore del codice "speriamo nella risposta della community"

zappy · 04-05-2022, 17:20

Quote:

Originariamente inviato da bancodeipugni

il problema alla fine si ridurrebbe solo alle richieste dns che il router da solo fa verso l'esterno (aggiornamenti, segnale orario, cose cosi'...)

hai detto niente...

zappy · 04-05-2022, 17:21

Quote:

Originariamente inviato da sisko214

Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing.
Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.

concordo.
pigliano lavoro open, lo sbattono nel loro schifo di firmware closed, e vendono prodotti in cui non puoi nemmeno mettere le mani...

bancodeipugni · 05-05-2022, 11:49

gli aggiornamenti autoaggiornanti vanno disattivati subito (il mio non ce l'ha ma ti avvisa, il che potrebbe attirare facilmente in tranelli...) il fatto è che su alcuni non puoi neanche tirarlo via se non con artifici laboriosi (vedi router forniti da isp stessi)

le mani gliele puoi anche mettere, ma sperare che la gente a casa risolva i problemi presenti sulle tue macchine, è come portare la macchina rotta anzichè dal meccanico a casa di un altro, praticone, che ce l'ha uguale

zappy · 05-05-2022, 18:47

Quote:

Originariamente inviato da bancodeipugni

...le mani gliele puoi anche mettere, ma sperare che la gente a casa risolva i problemi presenti sulle tue macchine, è come portare la macchina rotta anzichè dal meccanico a casa di un altro, praticone, che ce l'ha uguale

intendevo che usano roba open per fare roba closed, per cui spendono poco e poi non documentano e non aggiornano nè permettono a te (se sai farlo) di aggiornare.
poi ovvio che non è che la signora pina si mette a sostituire il kernel al router... ma che ci sia la possibilità è cosa diversa dal doverlo fare da soli per forza. E' una opportunità.

aqua84 · 05-05-2022, 19:08

Quote:

Originariamente inviato da sisko214

Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing.
Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.

ma che discorsi sono??

come puoi metterti a fare qualunque tipo di test??
potrebbero volerci anni prima di "scovare" qualcosa come non arrivare mai a niente.
e nel frattempo aspetti?

hai presente Spectre e Meltdown, tanto per fare un esempio?
vulnerabilità "scoperte" ai giorni nostri che riguardano anche prodotti di 10-15 anni fa.

potevano scoprirle 10-15 anni fa?
boh, forse si, forse no...

bancodeipugni · 05-05-2022, 20:39

basta pagà

netgear mette le taglie ai bug di sicurezza in base alla gravità e urgenza

..il problema è che le mettono dopo che è uscito il fix, per cui

04-05-2022, 11:41	#2
bancodeipugni Senior Member Iscritto dal: Nov 2013 Città: Nel cuore dell'8 Mile di Detroit Messaggi: 3914	tradotto da: https://securityboulevard.com/2022/0...g-iot-at-risk/ che descrive in modo più dettagliato la cosa, con anche file e pezzo di codice incriminato per ovviare alla cosa bisogna evitare di usare i dns relay interni del router e impostarli direttamente sulle macchine o farli impostare al dhcp il problema alla fine si ridurrebbe solo alle richieste dns che il router da solo fa verso l'esterno (aggiornamenti, segnale orario, cose cosi'...) ...bella pezza perchè praticamente quasi tutti i router casalinghi sono messi cosi' (mi sembra pero' che le ultime versioni di openwrt usino direttamente libc) __________________ "Se devi mangiare merda non assaporarla: mordi, mastica, ingoia, ripeti. Fai presto, e te la cavi con poco"

04-05-2022, 13:37	#4
bancodeipugni Senior Member Iscritto dal: Nov 2013 Città: Nel cuore dell'8 Mile di Detroit Messaggi: 3914	bella la risposta del curatore del codice "speriamo nella risposta della community" __________________ "Se devi mangiare merda non assaporarla: mordi, mastica, ingoia, ripeti. Fai presto, e te la cavi con poco"

05-05-2022, 11:49	#7
bancodeipugni Senior Member Iscritto dal: Nov 2013 Città: Nel cuore dell'8 Mile di Detroit Messaggi: 3914	gli aggiornamenti autoaggiornanti vanno disattivati subito (il mio non ce l'ha ma ti avvisa, il che potrebbe attirare facilmente in tranelli...) il fatto è che su alcuni non puoi neanche tirarlo via se non con artifici laboriosi (vedi router forniti da isp stessi) le mani gliele puoi anche mettere, ma sperare che la gente a casa risolva i problemi presenti sulle tue macchine, è come portare la macchina rotta anzichè dal meccanico a casa di un altro, praticone, che ce l'ha uguale __________________ "Se devi mangiare merda non assaporarla: mordi, mastica, ingoia, ripeti. Fai presto, e te la cavi con poco"

05-05-2022, 20:39	#10
bancodeipugni Senior Member Iscritto dal: Nov 2013 Città: Nel cuore dell'8 Mile di Detroit Messaggi: 3914	basta pagà netgear mette le taglie ai bug di sicurezza in base alla gravità e urgenza ..il problema è che le mettono dopo che è uscito il fix, per cui __________________ "Se devi mangiare merda non assaporarla: mordi, mastica, ingoia, ripeti. Fai presto, e te la cavi con poco"

04-05-2022, 11:01	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: https://www.hwupgrade.it/news/sicure...-c_106865.html Una libreria C utilizzata in moltissimi dispositivi IoT e distribuzioni Linux per applicazioni embedded contiene una vulnerabilità che può portare ad azioni di DNS Poisoning con esiti anche particolarmente gravi Click sul link per visualizzare la notizia.

04-05-2022, 12:00	#3
sisko214 Senior Member Iscritto dal: Jul 2020 Messaggi: 329	Va ben che è codice GPL/open/free source, ma con 200 e passa aziende, per chissà quanti prodotti sviluppati per ogni azienda, fanno qualche migliaio di dispositivi, e nessuna di queste aziende si è mai degnata di spendere 2 soldi per pagare i programmatori della libreria, per curare il codice e fare un pò di controlli e/o testing. Mi sa che lo sfruttamento ed il caporalato non è solo nel settore dell'agricoltura.

Strumenti
Mostra una versione stampabile Invia questa pagina per email