Vulnerabilidad sin parches relacionada con DNS afecta a una amplia gama de dispositivos IoT

Investigadores de seguridad cibernética revelaron una vulnerabilidad de seguridad sin parches, que podría representar un riesgo grave para los productos de IoT.

La vulnerabilidad, que se informó originalmente en septiembre de 2021, afecta la implementación del Sistema de Nombres de Dominio (DNS) de dos bibliotecas C populares llamadas uClibc y uClibc-ng que se utilizan para desarrollar sistemas Linux integrados.

Se sabe que uClibc es utilizada por los principales proveedores como Linksys, Netgear y Axis, así como por distribuciones de Linux como Embedded Gentoo, lo que podría exponer millones de dispositivos IoT a amenazas de seguridad.

«La falla es causada por la previsibilidad de los ID de transacción incluidos en las solicitudes de DNS generadas por la biblioteca, lo que puede permitir a los atacantes realizar ataques de envenenamiento de DNS contra el dispositivo de destino», dijeron Giannis Tsaraias y Andrea Palanca, de Nozomi Networks.

El envenenamiento de DNS, también conocido como falsificación de DNS, es la técnica de corromper un caché de resolución de DNS, que proporciona a los clientes la dirección IP asociada con un nombre de dominio, con el objetivo de redirigir a los usuarios a sitios web maliciosos.

La explotación exitosa del error podría permitir que un adversario realice ataques Man-in-the-Middle (MitM) y corrompa el caché de DNS, redirigiendo efectivamente el tráfico de Internet a un servidor bajo su control.

Nozomi Networks advirtió que la vulnerabilidad podría explotarse trivialmente de forma confiable si el sistema operativo se configura para usar un puerto de origen fijo o predecible.

«El atacante podría entonces robar y/o manipular la información transmitida por los usuarios y realizar otros ataques contra esos dispositivos para comprometerlos completamente», dijeron los investigadores.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.