Các lỗ hổng NAME:WRECK mới ảnh hưởng đến gần 100 triệu Thiết bị IoT.



Các nhà nghiên cứu bảo mật đã phát hiện ra chín lỗ hổng ảnh hưởng đến bốn TCP/IP stacks tác động đến hơn 100 triệu thiết bị của người tiêu dùng và doanh nghiệp có thể đã bị các hacker khai thác để chiếm quyền kiểm soát một hệ thống dễ bị tấn công.

Được Forescout và JSOF đặt cho một cái tên là “NAME: WRECK”, các lỗ hổng này là lỗi gần đây nhất nhất trong loạt nghiên cứu được thực hiện như một phần của ý tưởng của kế hoạch ​​có tên là Project Memoria nhằm nghiên cứu tính bảo mật của các TCP/IP stacks được sử dụng rộng rãi, được nhiều nhà cung cấp kết hợp trong firmware của họ để cung cấp các tính năng kết nối mạng và internet.

Report exposes flaw in iVote system used in New South Wales election

Các nhà nghiên cứu cho biết: “Những lỗ hổng này liên quan đến việc triển khai Domain Name System (DNS), và gây ra Denial of Service (DoS) attacks hoặc Remote Code Execution (RCE), cho phép hacker chiếm lấy thiết bị mục tiêu ngoại tuyến hoặc kiểm soát chúng”, các nhà nghiên cứu cho biết.

Cái tên này xuất phát từ thực tế là việc phân tích cú pháp tên miền có thể phá vỡ (tức là “wreck”) việc triển khai DNS trong TCP/IP stacks, thêm vào một sự gia tăng gần đây về các lỗ hổng như SigRed, SAD DNS và DNSpooq tận dụng “phonebook của internet “như một attack vector.

Chúng cũng đánh dấu lần thứ năm các điểm yếu bảo mật được xác định trong các protocol stacks làm nền tảng cho hàng triệu thiết bị được kết nối internet :

  • URGENT / 11
  • Ripple20
  • AMNESIA: 33 và
  • NUMBER: JACK

Cụ thể, nghiên cứu mới nhất cung cấp một cái nhìn sâu hơn về sơ đồ “message compression” được sử dụng trong DNS protocol để “loại bỏ sự lặp lại của tên miền trong một tin nhắn” với mục đích giảm kích thước thư, phát hiện nhiều lỗ hổng trong FreeBSD (12.1 ), IPnet (VxWorks 6.6), Nucleus NET (4.3) và NetX (6.0.1) stacks.

Trong một viễn cảnh tấn công trông có vè thuyết phục trong thế giới thực, hacker có thể khai thác những lỗ hổng này để tìm đường vào mạng của tổ chức thông qua thiết bị kết nối internet đưa ra yêu cầu DNS tới máy chủ và lấy cắp thông tin nhạy cảm, hoặc thậm chí sử dụng chúng như một bước đệm để phá hoại thiết bị quan trọng.

Ngoại trừ IPnet, FreeBSD, Nucleus NET và NetX đều đã phát hành các bản vá lỗi, yêu cầu các nhà cung cấp thiết bị sử dụng các phiên bản phần mềm dễ có chứa lỗi phải gửi chương trình cơ sở cập nhật cho khách hàng của họ.

Nhưng cũng giống như các lỗi trước đó, có một số trở ngại trong việc áp dụng các bản sửa lỗi, điều gì xảy ra với việc thiếu thông tin liên quan đến TCP / IP stacks chạy trên một thiết bị, khó khăn trong việc cung cấp các bản vá vì các thiết bị không được quản lý một cách tập trung hoặc chúng không thể được thực hiện ngoại tuyến do vai trò trọng điểm trong các quy trình quan trọng chẳng hạn như chăm sóc sức khỏe và hệ thống kiểm soát công nghiệp.

TCP/IP stacks

Nói cách khác, bên cạnh nỗ lực cần thiết để xác định tất cả các thiết bị dễ bị tấn công, có thể mất một khoảng thời gian đáng kể trước khi các bản vá bảo mật chuyển từ nhà cung cấp ngăn xếp xuống firmware của thiết bị.

Thậm chí tệ hơn, trong một số trường hợp, việc đẩy một bản vá có thể không bao giờ khả thi, do đó nhiều thiết bị bị ảnh hưởng rất có thể sẽ tiếp tục bị tấn công trong nhiều năm tới hoặc cho đến khi chúng ngừng hoạt động.

Mặc dù một bản sửa lỗi nhanh chóng có thể chưa được phát hành ngay, nhưng tia sáng trong kết quả nghiên cứu là có những biện pháp giảm thiểu giúp dễ dàng phát hiện những nỗ lực lợi dụng những sai sót này hơn. Để bắt đầu, Forescout đã phát hành một tập lệnh mã nguồn mở để phát hiện các thiết bị đang chạy các stacks đang bị ảnh hưởng. Ngoài ra, các nhà nghiên cứu cũng khuyên bạn nên thực thi các biện pháp Network segmentation controls  cho đến khi có các bản vá và giám sát tất cả lưu lượng mạng để tìm các gói độc hại cố gắng khai thác các lỗ hổng nhắm mục tiêu vào DNS, mDNS và DHCP clients.

Nghiên cứu cũng dự kiến ​​sẽ được trình bày tại hội nghị Black Hat Asia 2021 vào ngày 6 tháng 5 năm 2021.

Các nhà nghiên cứu cho biết: “NAME: WRECK là một trường hợp mà việc triển khai không tốt một phần cụ thể của RFC có thể gây ra những hậu quả nghiêm trọng lây lan qua các phần khác nhau của TCP / IP stacks và sau đó là các sản phẩm khác nhau sử dụng stacks đó”.

“Điều thú vị là chỉ cần không triển khai hỗ trợ nén (chẳng hạn như trong lwIP). là một biện pháp giảm thiểu hiệu quả, chống lại loại lỗ hổng này. Vì việc giảm băng thông liên quan đến kiểu nén này gần như vô nghĩa trong thế giới kết nối nhanh, chúng tôi tin rằng hỗ trợ nén DNS message hiện đang gây ra nhiều vấn đề hơn là nó có thể giải quyết được.

nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật