DNS: un bug molto pericoloso affligge milioni di router e device IoT

I ricercatori di sicurezza di Nozomi Networks hanno recentemente pubblicato un security report dove si evidenzia la presenza di un pericoloso bug presente in milioni di router e dispositivi IoT (Internet of Things). Nel dettaglio si tratta di una vulnerabilità software presente all'interno dei DNS (Domain Name System) e più nello specifico tale bug si annida nella libreria uClibc, scritta in linguaggio C, e nel suo fork uClibc-ng, sviluppato dal team di coder OpenWRT, che viene implementata all'interno del firmware dei device prodotti da aziende come Netgear, Axis e Linksys. Tale componente si trova anche in diverse distribuzioni Linux impiegate in diversi applicativi embedded.

I DNS sono sostanzialmente quel sistema standard utilizzato per assegnare dei nomi convenzionali ai nodi della rete. Per fare un esempio concreto, gli utenti durante la navigazione web utilizzano degli URL (Uniform Resource Locator) contenenti delle normali parole, queste vengono poi convertite in indirizzi IP (Internet Protocol) proprio dai DNS presenti nel sistema operativo oppure sul nostro router. È dunque chiaro che una vulnerabilità all'interno dei DNS è qualcosa di grave che può compromettere l'accesso alla rete internet e consentire possibili truffe o furti di dati.

La libreria uClibc viene impiegata all'interno degli embedded system ed offre una serie di risorse e funzionalità necessarie al funzionamento ed alla configurazione della connessione di diversi device. L'implementazione DNS di tale libreria da accesso ad un meccanismo che esegue una DNS-related request per la conversione delle lettere in indirizzi IP.

I ricercatori di Nozomi Networks hanno esaminato proprio tali DNS-related request riscontrando alcune particolarità causate dalla funzione di internal lookup. Dopo varie analisi è stato dunque scoperto che l'ID dalla DNS lookup request era facilmente prevedibile ed individuabile.

Tale elemento potrebbe consentire, in determinati contesti e circostante, un attacco informatico noto come avvelenamento della cache DNS (DNS cache poisoning). In buona sostanza un attaccante potrebbe reindirizzare gli utenti, a loro insaputa, verso un portale web non richiesto, un sito fake in sostanza, da cui operare del phishing dei dati oppure spingere all'installazione di malware, o ancora eseguire attacchi man in the middle o DoS (Denial of service).

Il team di analisti di Nozomi Networks non può escludere che tale falla non sia già stata sfruttata da gruppi di hacker per eseguire attacchi su vasta scala. Tuttavia la società sta già lavorando, collaborando con le aziende del settore, alla realizzazione di nuove patch per sistemare tale problematica.