Es wurde festgestellt, dass Router und angeschlossene Geräte, einschließlich Netzwerkkameras von Unternehmen wie Netgear, Linksys und Axis, sowie solche, die Linux-Distributionen wie Embedded Gentoo verwenden, von einem Domain Name System (DNS)-Poisoning-Fehler betroffen sind, der in zwei beliebten Bibliotheken auftritt für angeschlossene Geräte. Genaue Modelle, die von der Sicherheitslücke betroffen sind, werden von den Forschern, die ihre Existenz entdeckt haben, nicht bekannt gegeben, da die Lücke noch geschlossen werden muss. Die anfälligen Bibliotheken wurden jedoch von einer großen Anzahl von Anbietern verwendet, darunter einige der renommierten Hersteller von Routern und Internet-of-Things-Geräten (IoT).
Die Forscher des IT-Sicherheitsunternehmens Nozomi Networks sagten, dass die DNS-Implementierung aller Versionen der Bibliotheken uClibc und uClibc-ng den DNS-Poisoning-Fehler aufwies, den ein Angreifer ausnutzen kann, um Benutzer auf bösartige Server umzuleiten und die über die betroffenen Geräte geteilten Informationen zu stehlen. Das Problem wurde erstmals letztes Jahr entdeckt und im Januar über 200 Anbietern mitgeteilt.
Während uClibc von Anbietern wie Netgear, Linksys und Axis verwendet wird und Teil von Linux-Distributionen wie Embedded Gentoo ist, ist uClibc-ng ein Fork, der für OpenWRT entwickelt wurde – das beliebte Open-Source-Betriebssystem für Router. Dies zeigt das große Ausmaß des Fehlers, der eine große Anzahl von Benutzern auf der ganzen Welt betreffen könnte.
Die Schwachstelle in beiden Bibliotheken ermöglicht es Angreifern, einen Parameter namens Transaktions-ID vorherzusagen, bei dem es sich normalerweise um eine eindeutige Zahl pro Anfrage handelt, die vom Client generiert wird, um die Kommunikation über DNS zu schützen.
Im Normalfall verwirft das System die Antwort, wenn die Transaktions-ID nicht verfügbar ist oder sich von der auf Client-Seite generierten unterscheidet. Da die Sicherheitslücke jedoch die Vorhersehbarkeit der Transaktions-ID ermöglicht, kann ein Angreifer die Nummer vorhersagen, um schließlich das legitime DNS zu fälschen und Anfragen an einen gefälschten Webserver oder eine Phishing-Website umzuleiten.
Die Forscher stellten außerdem fest, dass DNS-Poisoning-Angriffe es Angreifern auch ermöglichen, nachfolgende Man-in-the-Middle-Angriffe zu initiieren, die ihnen helfen könnten, von Benutzern übermittelte Informationen zu stehlen oder zu manipulieren oder sogar die Geräte zu gefährden, auf denen die anfälligen Bibliotheken laufen.
„Da diese Schwachstelle weiterhin ungepatcht ist, können wir zum Schutz der Community die spezifischen Geräte, auf denen wir getestet haben, nicht offenlegen. Wir können jedoch offenlegen, dass es sich um eine Reihe bekannter IoT-Geräte handelte, auf denen die neuesten Firmware-Versionen mit hoher Wahrscheinlichkeit ausgeführt wurden.“ Sie werden in allen kritischen Infrastrukturen eingesetzt“, sagte Andrea Palanca, Sicherheitsforscherin bei Nozomi Networks.
Der Betreuer von uClibc-ng schrieb in einem offenen Forum, dass er das Problem letztendlich nicht beheben konnte. Ebenso hat uClibc seit 2010 kein Update mehr erhalten, wie aus den Details auf der Download-Seite der Bibliothek hervorgeht, wie Ars Technica festgestellt hat.
Allerdings arbeiten Gerätehersteller derzeit daran, das Problem und seine Auswirkungen zu bewerten.
Netgear gab eine Erklärung heraus, in der es die Auswirkungen der Sicherheitslücke auf seine Geräte anerkennt.
„Netgear ist sich der Offenlegung einer branchenweiten Sicherheitslücke in den eingebetteten C-Bibliotheken uClibc und uClibc-ng bewusst, die einige Produkte betrifft. Netgear prüft, welche Produkte betroffen sind. Alle Netgear-Produkte verwenden Quell-Port-Randomisierung, was uns derzeit nicht bekannt ist.“ „jeden spezifischen Exploit, der gegen die betroffenen Produkte verwendet werden könnte“, sagte das Unternehmen.
Das Unternehmen versicherte außerdem, das Problem weiterhin zu untersuchen und, falls in Zukunft ein Fix verfügbar sein sollte, zu bewerten, ob der Fix für die betroffenen Netgear-Produkte anwendbar sei.
Gadgets 360 hat sich auch an Anbieter wie Linksys und Axis gewandt, um deren Kommentare zu dem Fehler einzuholen, und wird diesen Artikel aktualisieren, sobald sie antworten.
source – www.gadgets360.com
