Kerentanan yang belum ditambal di pustaka standar C populer yang ditemukan di berbagai IoT (terbuka di tab baru) produk dan router (terbuka di tab baru) dapat menempatkan jutaan perangkat dalam risiko serangan.
Kerentanan, dilacak sebagai CVE-2022-05-02 dan ditemukan oleh Nozomi Networks (terbuka di tab baru)hadir dalam sistem nama domain (DNS (terbuka di tab baru)) komponen perpustakaan uClibc dan garpu uClibc-ng dari tim OpenWRT. Baik uClibc dan uClibc-ng banyak digunakan oleh Netgear, Axis, Linksys dan vendor besar lainnya serta di distro Linux (terbuka di tab baru) dirancang untuk aplikasi tertanam.
Implementasi DNS uClibc menyediakan mekanisme untuk melakukan permintaan terkait DNS termasuk pencarian dan penerjemahan nama domain (terbuka di tab baru) ke alamat IP (terbuka di tab baru).
Saat ini, perbaikan saat ini tidak tersedia dari pengembang uClibc yang berarti bahwa perangkat dari lebih dari 200 vendor saat ini berisiko keracunan DNS atau spoofing DNS yang dapat mengarahkan calon korban ke situs web jahat yang dihosting di server yang dikendalikan penyerang.
Risiko keracunan DNS
Peneliti keamanan di Nozomi pertama kali menemukan kerentanan di uClibc setelah meninjau jejak permintaan DNS yang dilakukan oleh perangkat yang terhubung saat mereka menemukan beberapa keganjilan yang disebabkan oleh fungsi pencarian internal perpustakaan. Setelah penyelidikan lebih lanjut, firma keamanan IoT menemukan bahwa ID transaksi dari permintaan pencarian DNS ini dapat diprediksi dan oleh karena itu peracunan DNS dapat terjadi dalam keadaan tertentu.
Nozomi Networks memberikan wawasan lebih lanjut dalam posting blog (terbuka di tab baru) tentang apa yang dapat dilakukan penyerang dengan melakukan peracunan DNS pada perangkat dan router IoT yang rentan, dengan mengatakan:
“Serangan peracunan DNS memungkinkan serangan Man-in-the-Middle berikutnya karena penyerang, dengan meracuni catatan DNS, mampu mengalihkan komunikasi jaringan ke server di bawah kendali mereka. Penyerang kemudian dapat mencuri dan/atau memanipulasi informasi yang dikirimkan oleh pengguna, dan melakukan serangan lain terhadap perangkat tersebut untuk sepenuhnya membahayakan mereka. Masalah utama di sini adalah bagaimana serangan peracunan DNS dapat memaksa respons yang diautentikasi.”
Setelah menemukan kekurangan ini di uClibc pada bulan September tahun lalu, Nozomi segera memberi tahu CISA (terbuka di tab baru) tentang hal itu dan kemudian melaporkan temuannya ke Pusat Koordinasi CERT pada bulan Desember. Namun, baru pada Januari tahun ini perusahaan mengungkapkan kerentanan kepada vendor yang perangkatnya mungkin terpengaruh oleh cacat tersebut.
Meskipun perbaikan saat ini tidak tersedia, vendor yang terpengaruh dan pemangku kepentingan lainnya bekerja sama untuk mengembangkan tambalan. Namun demikian, setelah tambalan siap, pengguna akhir perlu menerapkannya sendiri di perangkat mereka melalui pembaruan firmware, tetapi ini dapat menunda jumlah waktu yang diperlukan agar kerentanan diperbaiki untuk selamanya.
Melalui Komputer Bleeping (terbuka di tab baru)