Dispositivi IoT a rischio DNS Poisoning: c'è una falla in una diffusa libreria C

E' stata individuata una vulnerabilità nel componente DNS di una popolare libreria C che è presente ed utilizzata in una vasta gamma di prodotti connessi e potrebbe rappresentare per milioni di dispositivi il rischio di cadere vittima di attacchi di tipo DNS Poisoning.

La vulnerabilità, individuata dai ricercatori di Nozomi Networks, è a carico della libreria uClibc e del suo fork uClibc-ng ad opera del team OpenWRT. Tutte e due le varianti sono usate dai principali produttori di dispositivi di rete (Netgear, Axis e Linksys, per citarne alcuni) e nelle distribuzioni Linux dedicate a sistemi embedded. I ricercatori di Nozomi Networks avvertono che al momento non è disponibile una soluzione da parte dello sviluppatore di uClibc, con il risultato che la vulnerabilità va ad interessare i prodotti di almeno 200 fornitori.

uClibc è una libreria standard C per sistemi embedded che mette a disposizione una serie di risorse necessarie per l'esecuzione di funzioni e modalità di configurazione su tali dispositivi. L'implementazione DNS in quella libreria fornisce un meccanismo per eseguire richieste relative al DNS come ricerche, traduzioni di nomi di dominio in indirizzi IP e via discorrendo.

I ricercatori di Nozomi hanno analizzato le richieste DNS eseguite da un dispositivo che fa uso di uClibc, riscontrando alcune dinamiche di funzionamento causate da una funzione di ricerca interna. In particolare è stato riscontrato che l'ID della transazione di richiesta di ricerca DNS poteva essere prevedibile, il che potrebbe consentire l'esecuzione di una azione di DNS Poisoning.

Si tratta di un attacco che induce il dispositivo di destinazione a puntare verso un endpoint definito dall'aggressore, così da instaurare con esso una comunicazione di rete. Così facendo l'aggressore avrebbe la possibilità di reindirizzare il traffico di rete verso un server sotto il suo diretto controllo. 

"L'aggressore potrebbe sottrarre o manipolare le informazioni trasmesse ed eseguire altri attacchi contro quei dispositivi per comprometterli totalmente. Il problema principale in questo caso è il modo il cui gli attacchi DNS poisoning possono forzare una risposta autenticata" sottolineano i ricercatori.

Il problema è stato scoperto nel corso del mese di settembre 2021 da Nozomi Networks che ha informato il CISA e successivamente, a dicembre, ha notificato la scoperta anche al centro di coordinamento del CERT. La vulnerabilità è stata poi comunicata a gennaio 2022 agli oltre 200 fornitori potenzialmente interessati. La vulnerabilità, che al momento ripetiamo essere senza patch, è tracciata con il codice CVE-2022-05-02.

"Poiché questa vulnerabilità rimane senza patch, per la sicurezza della comunità non possiamo rivelare i dispositivi specifici su cui abbiamo effettuato i test. Possiamo però rivelare che si è trattato di una gamma di noti dispositivi IoT con le ultime versioni del firmware, con alta probabilità che fossero implementati all'interno di infrastrutture critiche" osservano i ricercatori.

Dal momento che i fornitori dovranno applicare le patch con l'implementazione di una nuova versione della libreria uClibc negli aggiornamenti del firmware è verosimile immaginare che sarà necessario un po' di tempo prima che le opportune correzioni possano arrivare nelle mani degli utenti e degli amministratori di rete.