No início do último mês, a Nozomi Networks, empresa californiana de segurança cibernética do Sistema de Controle Industrial (ICS), lançou um comunicado (rastreado como CVE-2022-30295) detalhando uma vulnerabilidade no componente DNS da biblioteca uClibc usada em muitos produtos de IoT. A técnica de ataque que explora essa vulnerabilidade não é nova e o impacto pode ser mitigado com soluções inteligentes de segurança DNS.

A vulnerabilidade também se estende a todas as versões da biblioteca uClibc-ng, especificamente bifurcada para oferecer suporte ao popular sistema operacional de roteador OpenWRT usado em redes domésticas e em vários setores de infraestrutura crítica. A biblioteca uClibc é usada pelos principais fornecedores, incluindo Linksys, Netgear, Axis e em distribuições Linux, incluindo Embedded Gentoo.

A vulnerabilidade explorável está na implementação de IDs de transação previsíveis da biblioteca uClibc, permitindo que um invasor envie uma resposta "envenenada" ao dispositivo. Supondo que as portas de origem sejam aleatórias, o invasor agora precisa inundar o dispositivo com "respostas" de DNS envenenadas usando todas as portas de origem possíveis - e fazê-lo antes que a resposta de DNS legítima seja recebida.

Qual é o impacto? Um invasor pode explorar a vulnerabilidade para realizar envenenamento ou falsificação de DNS (em determinadas circunstâncias) para redirecionar a vítima (roteador/dispositivo incorporado) para um domínio malicioso sob o controle do invasor em vez da infraestrutura de domínio legítimo. O envenenamento de cache DNS tem sido um ataque amplamente conhecido e um facilitador de ataques desde os anos 90. Então, o que é envenenamento de cache DNS?

Quando um computador ou outro dispositivo solicita o endereço IP para destinos intra/internet de um servidor DNS, o endereço resolvido é armazenado na memória cache de curto prazo para acelerar as consultas subsequentes para o mesmo destino.

Por exemplo, suponha que você seja a primeira pessoa em seu escritório entre 100 funcionários na manhã de segunda-feira. Você pega seu suco matinal preferido, liga o computador e verifica no Google onde pode obter o melhor preço em algo que viu no fim de semana. Seu computador solicita que os servidores DNS upstream forneçam o endereço IP atual para o Google e, posteriormente, qualquer site em que você clicar.

Agora, imagine que cada funcionário faça a mesma coisa X 100. Seu computador e o servidor/roteador DNS armazenam as informações resultantes na memória local para que, quando seus colegas de trabalho também pesquisarem no Google [o que quer que seja], a rede já tenha a resposta em vez de 100 solicitações à Internet para o mesmo endereço IP.

No entanto, quando essa vulnerabilidade é explorada, essa resposta armazenada em cache local para qualquer/todos os domínios pode ser "envenenada" de modo que uma solicitação de endereço IP do Google (ou qualquer destino da Internet) possa ser substituída para apontar para um domínio malicioso. Mas você não saberia imediatamente? Como usuário, não necessariamente. Domínios maliciosos podem ser configurados para fornecer malware adicional por meio de explorações de navegador que lhes dão mais acesso à sua rede ou podem realizar ataques man-in-the-middle para interceptar todo o tráfego da Internet.

Embora os invasores possam não estar interessados ​​em seus hábitos de compras, imagine se você estivesse visitando sua instituição financeira para ter certeza de ter dinheiro suficiente para comprar aquela mesa de centro de designer que encontrou. Eles podem interceptar suas credenciais de login e roubar o seu dinheiro.

Apesar do impacto potencial ser algo difícil de avaliar, seja para o indivíduo ou para a organização, uma coisa é certa: queremos manter os agentes de ameaças não autorizados fora de nossas redes. Dado o estado de muitas redes organizacionais, o uso comum de servidores DNS de nível empresarial que aproveitam o DNSSEC tornaria esse vetor de ataque amplamente ineficaz.

No entanto, muitas redes domésticas que utilizam pontos de acesso de roteador de varejo SOHO não são tão robustas, o que torna essa vulnerabilidade mais impactante. Isto porque essas redes são muito suscetíveis a uma série de ataques e, para o funcionário que trabalha em qualquer lugar (WFA), isso apresenta riscos adicionais aos sistemas organizacionais que operam por meio delas. Os gerentes corporativos precisam garantir que estão aproveitando uma solução DNS protetora configurada organizacionalmente (ou seja, BloxOne Threat Defense Cloud Resolver) e registrando consultas/respostas DNS de dispositivos WFA.

Em resumo, a técnica não é nova e é relativamente fácil de frustrar: implemente DNSSEC em servidores DNS corporativos e aproveite uma solução DNS protetora para interromper a resolução de domínios maliciosos.

Sobre a Infoblox

A Infoblox é líder em gerenciamento e segurança de DNS de próxima geração. Mais de 12.000 clientes, incluindo mais de 70% da Fortune 500, confiam na empresa para dimensionar, simplificar e proteger suas redes híbridas, a fim de enfrentar os desafios modernos de um mundo que prioriza a computação em nuvem.