Los dispositivos de Netgear, Linksys y otros 200 tienen un error de envenenamiento de DNS sin parches


Los dispositivos de Netgear, Linksys y otros 200 tienen un error de envenenamiento de DNS sin parches

imágenes falsas

Los fabricantes de hardware y software están tratando de averiguar si sus productos sufren una vulnerabilidad crítica descubierta recientemente en bibliotecas de códigos de terceros utilizadas por cientos de proveedores, incluidos Netgear, Linksys, Axis y la distribución integrada de Linux Gentoo.

La falla permite a los piratas informáticos acceder a la conexión entre un dispositivo afectado e Internet para envenenar las consultas DNS utilizadas para traducir dominios a direcciones IP, dijeron el lunes investigadores de la firma de seguridad Nozomi Networks. Al ingresar repetidamente direcciones IP fraudulentas en un dispositivo vulnerable, los piratas informáticos pueden obligar a los usuarios finales a conectarse a servidores maliciosos que se hacen pasar por Google u otro sitio web confiable.

La vulnerabilidad, revelada a los proveedores en enero y divulgada el lunes, se encuentra en uClibc y en la bifurcación uClibc-ng de uClibc, las cuales brindan alternativas a la biblioteca C estándar para Linux integrado. Nozomi dijo que 200 proveedores están incorporando al menos una de las bibliotecas en los productos, que según el mantenedor de uClibc-ng incluyen:

La vulnerabilidad y la falta de un parche subrayan un problema con las bibliotecas de códigos de terceros que empeoró durante la última década. Muchos de ellos, incluso aquellos como la biblioteca criptográfica OpenSSL, que se usa ampliamente para proporcionar funciones de seguridad importantes, enfrentan restricciones de financiamiento que dificultan la búsqueda y parcheo de vulnerabilidades.

«Desafortunadamente, no pude solucionar el problema por mí mismo y espero que alguien de la pequeña comunidad se ponga en contacto», escribió el mantenedor de uClibc-ng en un foro abierto donde discutió la vulnerabilidad. uClibc, por otro lado, no se ha actualizado desde 2010, según la página de descarga de la biblioteca.

¿Qué es el envenenamiento de DNS de todos modos?

El envenenamiento de DNS y su primo, el envenenamiento de caché de DNS, permiten a los piratas informáticos reemplazar la búsqueda de DNS legítima para un sitio como google.com o arstechnica.com, generalmente 209.148.113.38 y 18.117.54.175 respectivamente, con direcciones IP maliciosas, que pueden hacerse pasar por estos sitios. al intentar instalar malware, suplantar contraseñas o realizar otras acciones nefastas.

Descubierto por primera vez por el investigador Dan Kaminsky en 2008, el envenenamiento de DNS requiere que un pirata informático primero se haga pasar por un servidor DNS autorizado y luego lo use para infectar un sistema de resolución de DNS en un ISP o dispositivo con resultados de búsqueda falsos para una inundación de dominio confiable. Si la dirección IP no autorizada llega antes que la legítima, los usuarios finales se conectarán automáticamente al sitio no autorizado. El truco funcionó porque la transacción única asignada a cada búsqueda era lo suficientemente predecible como para que los atacantes la insertaran en respuestas falsas.

Los arquitectos de Internet solucionaron el problema cambiando el número de puerto de origen utilizado cada vez que un usuario final busca el número de IP de un dominio. Si bien las búsquedas y respuestas anteriores solo pasaban por el puerto 53, el nuevo sistema ha asignado al azar el número de puerto utilizado por las solicitudes de búsqueda. Para que una resolución de DNS acepte una dirección IP devuelta, la respuesta debe contener el mismo número de puerto. Combinada con un número de transacción único, la entropía se ha medido en miles de millones, lo que hace matemáticamente imposible que los atacantes aterricen en la combinación correcta.

La vulnerabilidad en uClibc y uClibc-ng se deriva de la previsibilidad del número de transacción que las bibliotecas asignan a una búsqueda y su uso estático del puerto de origen 53. Los investigadores de Nozomi, Giannis Tsaraias y Andrea Palanca, escribieron:

Dado que el ID de la transacción ahora es predecible, para aprovechar la vulnerabilidad, un atacante necesitaría construir una respuesta DNS que contenga el puerto de origen correcto y ganar la carrera contra la respuesta DNS legítima devuelta por el servidor DNS. La explotabilidad de la emisión depende precisamente de estos factores. Debido a que la función no aplica la aleatorización explícita del puerto de origen, es probable que el problema se pueda explotar de manera fácil y confiable si el sistema operativo está configurado para usar un puerto de origen fijo o predecible.

Nozomi dijo que no enumeró los proveedores específicos, los modelos de dispositivos o las versiones de software afectadas para evitar que los piratas informáticos exploten la vulnerabilidad en la naturaleza. «Sin embargo, podemos revelar que había una serie de dispositivos IoT conocidos que ejecutaban las últimas versiones de firmware con una alta probabilidad de implementarse en toda la infraestructura crítica», escribieron los investigadores.

El lunes, Netgear emitió un aviso diciendo que la empresa estaba al tanto de las vulnerabilidades en la biblioteca y estaba evaluando si alguno de sus productos se vio afectado.

«Todos los productos de Netgear utilizan la aleatorización del puerto de origen, y actualmente no tenemos conocimiento de ningún exploit específico que pueda usarse contra los productos afectados», dijo el fabricante del dispositivo. Los representantes de Linksys y Axis no respondieron de inmediato a los correos electrónicos que les preguntaban si sus dispositivos eran vulnerables.

Sin más detalles, es difícil dar consejos de seguridad para evitar esta amenaza. Las personas que utilicen un dispositivo potencialmente afectado deben consultar los avisos del proveedor para obtener actualizaciones durante la próxima semana o dos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *