Los fabricantes de hardware y software se esfuerzan por determinar si sus productos sufren una vulnerabilidad crítica descubierta recientemente en bibliotecas de códigos de terceros utilizadas por cientos de proveedores, incluidos Netgear, Linksys, Axis y la distribución de Linux integrada Gentoo.
La falla hace posible que los piratas informáticos con acceso a la conexión entre un dispositivo afectado e Internet envenenen las solicitudes de DNS utilizadas para traducir dominios a direcciones IP, dijeron el lunes investigadores de la firma de seguridad Nozomi Networks. Al alimentar un dispositivo vulnerable con direcciones IP fraudulentas repetidamente, los piratas informáticos pueden obligar a los usuarios finales a conectarse a servidores maliciosos que se hacen pasar por Google u otro sitio confiable.
La vulnerabilidad, que se reveló a los proveedores en enero y se hizo pública el lunes, reside en uClibc y uClibc fork uClibc-ng, que brindan alternativas a la biblioteca C estándar para Linux integrado. Nozomi dijo que 200 proveedores incorporan al menos una de las bibliotecas en productos que, según el mantenedor de uClibc-ng, incluyen lo siguiente:
La vulnerabilidad y la falta de un parche subrayan un problema con las bibliotecas de códigos de terceros que ha empeorado durante la última década. Muchos de ellos, incluso aquellos como la biblioteca de criptografía OpenSSL que se usa ampliamente para proporcionar funciones de seguridad cruciales, se enfrentan a problemas de financiación que dificultan el descubrimiento y la reparación de vulnerabilidades de seguridad.
“Desafortunadamente, no pude solucionar el problema por mí mismo y espero que alguien de la pequeña comunidad se intensifique”, escribió el mantenedor de uClibc-ng en un foro abierto discutiendo la vulnerabilidad. Mientras tanto, uClibc no se ha actualizado desde 2010, según la página de descargas de la biblioteca.
¿Qué es el envenenamiento de DNS, de todos modos?
El envenenamiento de DNS y su pariente envenenamiento de caché de DNS permiten a los piratas informáticos reemplazar la búsqueda de DNS legítima para un sitio como google.com o arstechnica.com, normalmente 209.148.113.38 y 18.117.54.175, respectivamente, con direcciones IP maliciosas que pueden hacerse pasar por esas. sitios mientras intentan instalar malware, robar contraseñas o llevar a cabo otras acciones nefastas.
Descubierto por primera vez en 2008 por el investigador Dan Kaminsky, el envenenamiento de DNS requiere que un hacker primero se haga pasar por un servidor DNS autorizado y luego lo use para inundar un sistema de resolución de DNS dentro de un ISP o dispositivo con resultados de búsqueda falsos para un dominio confiable. Cuando la dirección IP fraudulenta llega antes que la legítima, los usuarios finales se conectan automáticamente al sitio impostor. El truco funcionó porque la transacción única asignada a cada búsqueda era lo suficientemente predecible como para que los atacantes pudieran incluirla en respuestas falsas.
Los arquitectos de Internet solucionaron el problema cambiando el número de puerto de origen utilizado cada vez que un usuario final busca el número de IP de un dominio. Mientras que antes, las búsquedas y las respuestas viajaban solo por el puerto 53, el nuevo sistema aleatorizó el número de puerto que utilizan las solicitudes de búsqueda. Para que una resolución de DNS acepte una dirección IP devuelta, la respuesta debe incluir ese mismo número de puerto. Combinada con un número de transacción único, la entropía se midió en miles de millones, lo que hace matemáticamente inviable que los atacantes aterricen en la combinación correcta.
La vulnerabilidad en uClibc y uClibc-ng se deriva de la previsibilidad del número de transacción que las bibliotecas asignan a una búsqueda y su uso estático del puerto de origen 53. Como escribieron los investigadores de Nozomi Giannis Tsaraias y Andrea Palanca:
Dado que el ID de la transacción ahora es predecible, para explotar la vulnerabilidad, un atacante necesitaría crear una respuesta DNS que contenga el puerto de origen correcto, así como también ganar la carrera contra la respuesta DNS legítima proveniente del servidor DNS. La explotabilidad del problema depende exactamente de estos factores. Como la función no aplica ninguna aleatorización explícita del puerto de origen, es probable que el problema se pueda explotar fácilmente de manera confiable si el sistema operativo está configurado para usar un puerto de origen fijo o predecible.
Nozomi dijo que no estaba enumerando los proveedores, modelos de dispositivos o versiones de software específicos que se ven afectados para evitar que los piratas informáticos exploten la vulnerabilidad en la naturaleza. “Sin embargo, podemos revelar que se trataba de una gama de dispositivos IoT conocidos que ejecutaban las últimas versiones de firmware con una alta probabilidad de que se implementaran en toda la infraestructura crítica”, escribieron los investigadores.
El lunes, Netgear emitió un aviso diciendo que la compañía está al tanto de las vulnerabilidades de la biblioteca y está evaluando si alguno de sus productos se ve afectado.
“Todos los productos de Netgear usan la aleatorización del puerto de origen y actualmente no tenemos conocimiento de ningún exploit específico que pueda usarse contra los productos afectados”, dijo el fabricante del dispositivo. Los representantes de Linksys y Axis no respondieron de inmediato a los correos electrónicos que les preguntaban si sus dispositivos eran vulnerables.
Sin más detalles, es difícil proporcionar una guía de seguridad para evitar esta amenaza. Las personas que usan un dispositivo potencialmente afectado deben monitorear los avisos de los proveedores para obtener actualizaciones durante la próxima semana o dos.