Onopgeloste DNS-bug maakt miljoenen IoT-toestellen kwetsbaar

Pieterjan Van Leemputten

Een fout in een onderdeel in veel IoT-producten maakt dat hun DNS-verzoeken voorspelbaar en dus te misbruiken zijn. Het probleem wordt nu publiek gemaakt om sneller een oplossing te vinden.

Het gaat om de uClibc en uClibc-ng library, een populair onderdeel van de C standard library. Dat klinkt mogelijk niet al te bekend, maar het gaat om een component dat in zeer veel internetgeconnecteerde toestellen zit. Van uClibc dateert de laatste versie van 2012. uClibc-ng krijgt wel nog regelmatig nieuwe versies, de laatste dateert hier van 24 januari 2022.

Welke toestellen exact kwetsbaar zijn, maakt ontdekker Nozomi Networks niet bekend omdat er nog geen patch is. Maar het bedrijf spreekt van meer dan tweehonderd toestelmakers en miljoenen toestellen, waaronder enkele zeer gekende toestellen die te misbruiken zijn.

Voorspelbaar

Concreet gaat het om de DNS-implementatie waar bij DNS-verzoeken van het toestel de transactie-ID voorspelbaar is. Daardoor valt ze te misbruiken en kan het toestel naar een ander domein worden gestuurd dan het bedoelde domein. Wie er in slaagt een mens of machine naar een malafide website te sturen om daar acties uit te voeren, is zo kwetsbaar voor allerlei aanvallen en/of het stelen van gegevens.

Het probleem werd in september 2021 al ontdekt door Nozomi Networks, het werd in de maanden nadien gerapporteerd bij verschillende instanties, in september onder meer bij het ICS-CERT, in december onder meer aan het Amerikaanse CERT, en in januari bij meer dan tweehonderd betrokken toestelmakers. Maar een oplossing is er nog niet.

In overleg met een aantal van die organisaties wordt de bug nu deels publiek gemaakt in de hoop dat zo de community meewerkt aan een oplossing voor de bug die in afwachting de code CVE-2022-05-02 of ICS-VU-638779, VU#473698 meekreeg.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content