安全研究人员在 uClibc 和 Uclibc-ng 这两个常用的标准 C 库中发现了一个域名系统 (DNS) 漏洞。根据一份报告,该漏洞尚未修复,可能允许攻击者对物联网设备发起 DNS 攻击。
考虑到该库非常受欢迎,数以百万计的物联网设备和路由器可能处于危险之中。Nozomi Networks Labs 在 C 标准库中发现了该漏洞,并表示它直接影响 DNS 在库上的运行方式。值得注意的是,该团队表示该错误会影响 uClibc 和 uClibc-ng 的所有版本。
研究团队的 Giannis Tsaraias 和 Andrea Palanca 在博客文章中说: “该漏洞是由库生成的 DNS 请求中包含的事务 ID 的可预测性引起的,这可能允许攻击者对目标设备执行 DNS 中毒攻击。” .
DNS 中毒也称为 DNS 欺骗,涉及威胁行为者诱骗 DNS 客户端允许虚假响应。然后,任何受影响的程序都可以通过攻击者控制的端点而不是合法端点进行其网络通信。
广泛的问题
这就是 uClibc 无处不在,这个问题影响了数百万台设备,使其成为一个危险且广泛存在的错误。处于攻击火线的主要物联网或路由器供应商包括 Netgear、Linksys 和几个 Linux 发行版。
如果 DNS 中毒攻击成功,则攻击可以发起中间人攻击。这通过将网络通信重新路由到其控制下的服务器来工作。
“然后攻击者可以窃取和/或操纵用户传输的信息,并对这些设备执行其他攻击以完全破坏它们,”该团队警告说。“这里的主要问题是 DNS 中毒攻击如何强制进行经过身份验证的响应。”
Nozomi Networks 没有命名受该漏洞影响的特定设备,因为该漏洞没有补丁。目前,缓解攻击涉及网络管理员提高安全性和操作的可见性,以更加注意潜在的攻击。
当然,希望补丁尽快到来。
正文完