DNS漏洞影響數百萬iot設備
研究人員在C標準庫的DNS組件中發現一個安全漏洞,利用該漏洞可以對DNS進行投毒攻擊,影響數百萬嵌入式和IoT設備。
uClibc庫和uClibc-ng庫是兩個標準的C語言庫,可以提供擴展的DNS客戶端接口,允許應用程序即時執行lookup和其他DNS相關的查詢。被Netgear、Axis、Linksys等主流設備廠商使用,被適用於Linux系統的嵌入式應用中。
Nozomi研究人員在IoT設備測試過程中發現,DNS請求的transaction ID首先是遞增的,然後重置爲0x2,然後繼續遞增。
圖 測試IoT設備執行的DNS請求記錄
研究人員進一步分析發現產生這一結果的原因是其使用的C標準庫——uClibc 0.9.33.2 (“libuClibc-0.9.33.2.so”)。研究人員分析uClibc源碼發現位於“/libc/inet/resolv.c”源文件調用了“__dns_lookup”函數:
圖 uClibc的DNS lookup函數
在第1240行,函數聲明瞭一個靜態變量“last_id”。該變量包含上一個DNS請求中使用的transaction ID值,並在“__dns_lookup” 的第一次調用時初始化爲1。
在第1260行,該函數聲明瞭變量“local_id”。該變量中包含一個用於下一個DNS請求的transaction ID值,未初始化。
之後,會執行以下代碼:
圖 uClibc (2)中的DNS lookup函數
在第1309行,第一個DNS請求中,“local_id”變量被初始化爲上一個DNS請求的transaction ID的值。第1320行是漏洞產生的原因:local_id是在原值的基礎上+1遞增的。考慮到該值在第一次調用的時候被初始化爲1,這也是前面圖中transaction ID被重置爲0x2的原因。
在第1321行,在進行位與(AND)運算後,該值仍被保存在“last_id”變量中(第1323行)。最後,在第1335行,“local_id”的值會被複制到struct resolv_header “h”變量中,表示DNS請求header的真實內容。
由於transaction ID是可預測的,攻擊者可以構造一個含有正確源端口的DNS請求,並贏得合法DNS響應的競爭。攻擊者可以使用DNS投毒或DNS欺騙來重定向受害者到攻擊者控制的惡意網站或IP地址(服務器)。如果操作系統應用端口隨機化技術,攻擊者可以通過發送多個DNS請求來暴力破解16位源端口,同時贏得合法DNS請求的競爭。
DNS投毒可以誘使目標設備指向任意定義的終端並參與網絡通信。攻擊者通過DNS投毒可以重定向流量到其控制的服務器。然後,攻擊者可以竊取和修改用戶傳輸的信息,執行鍼對這些設備的其他攻擊。
Nozomi 在2021年9月發現了該漏洞,並報告給了CISA。12月,將該漏洞提交給了CERT/CC。2022年1月,將漏洞通告給了超過200個受影響的廠商。
目前,該漏洞並非分配CVE編號,也未發佈補丁。相關廠商正在協作開發補丁。
完整技術分析參見:https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-dns-bug-in-popular-c-standard-library-putting-iot-at-risk/
參考及來源:https://www.bleepingcomputer.com/news/security/unpatched-dns-bug-affects-millions-of-routers-and-iot-devices/