Getty Resimleri
Donanım ve yazılım üreticileri, ürünlerinin Netgear, Linksys, Axis ve Gentoo gömülü Linux dağıtımı da dahil olmak üzere yüzlerce satıcı tarafından kullanılan üçüncü taraf kod kitaplıklarında yakın zamanda keşfedilen kritik bir güvenlik açığından etkilenip etkilenmediğini belirlemek için çabalıyorlar.
Güvenlik firması Nozomi Networks’ten araştırmacılar Pazartesi günü yaptığı açıklamada, kusurun, etkilenen bir cihaz ile İnternet arasındaki bağlantıya erişimi olan bilgisayar korsanlarının alan adlarını IP adreslerine çevirmek için kullanılan DNS isteklerini zehirlemesini mümkün kıldığını söyledi. Bilgisayar korsanları, güvenlik açığı bulunan bir cihaza sahte IP adreslerini art arda besleyerek, son kullanıcıları Google veya başka bir güvenilir site gibi görünen kötü niyetli sunuculara bağlanmaya zorlayabilir.
Ocak ayında satıcılara açıklanan ve Pazartesi günü halka arz edilen güvenlik açığı, her ikisi de gömülü Linux için standart C kitaplığına alternatif sağlayan uClibc ve uClibc çatal uClibc-ng’de bulunur. Nozomi, 200 satıcının, kütüphanelerden en az birini, uClibc-ng sağlayıcısına göre aşağıdakileri içeren mallara dahil ettiğini söyledi:
Güvenlik açığı ve yama eksikliği, son on yılda daha da kötüleşen üçüncü taraf kod kitaplıklarındaki bir sorunun altını çiziyor. Birçoğu – önemli güvenlik işlevleri sağlamak için yaygın olarak kullanılan OpenSSL şifreleme kitaplığı gibi olanlar bile – güvenlik açıklarının keşfedilmesini ve yamalanmasını zorlaştıran finansman sıkıntısıyla karşı karşıya.
uClibc-ng’nin koruyucusu açık bir forumda güvenlik açığını tartışarak “Maalesef sorunu kendi başıma çözemedim ve oldukça küçük topluluktan birinin adım atacağını umuyorum” dedi. Bu arada uClibc, kütüphanenin indirme sayfasına göre 2010’dan beri güncellenmedi.
Her neyse, DNS zehirlenmesi nedir?
DNS zehirlenmesi ve onun DNS önbellek zehirlenmesi, bilgisayar korsanlarının google.com veya arstechnica.com gibi bir site için meşru DNS aramasını (normalde sırasıyla 209.148.113.38 ve 18.117.54.175) bu siteler gibi görünebilecek kötü niyetli IP adresleriyle değiştirmesine olanak tanır. kötü amaçlı yazılım yüklemeye, parolaları avlamaya veya diğer kötü niyetli eylemleri gerçekleştirmeye çalışırken siteler.
İlk olarak 2008’de araştırmacı Dan Kaminsky tarafından keşfedilen DNS zehirlenmesi, bir bilgisayar korsanının önce yetkili bir DNS sunucusu gibi görünmesini ve ardından bunu bir DNS çözümleyicisini bir ISS veya cihaz içinde güvenilir bir etki alanı için sahte arama sonuçlarıyla doldurmak için kullanmasını gerektirir. Sahte IP adresi meşru olandan önce geldiğinde, son kullanıcılar otomatik olarak sahtekar siteye bağlanır. Saldırı işe yaradı çünkü her aramaya atanan benzersiz işlem, saldırganların sahte yanıtlara dahil edebileceği kadar tahmin edilebilirdi.
İnternet mimarları, bir son kullanıcı bir etki alanının IP numarasını her aradığında kullanılan kaynak bağlantı noktası numarasını değiştirerek sorunu çözdü. Daha önce, aramalar ve yanıtlar yalnızca 53 numaralı bağlantı noktası üzerinden seyahat ederken, yeni sistem arama isteklerinin kullandığı bağlantı noktası numarasını rastgele belirledi. Bir DNS çözümleyicisinin döndürülen bir IP adresini kabul etmesi için yanıtın aynı bağlantı noktası numarasını içermesi gerekir. Benzersiz bir işlem numarasıyla birleştiğinde, entropi milyarlarca olarak ölçüldü ve saldırganların doğru kombinasyona ulaşmasını matematiksel olarak imkansız hale getirdi.
uClibc ve uClibc-ng’deki güvenlik açığı, kitaplıkların bir aramaya atadığı işlem numarasının tahmin edilebilirliğinden ve kaynak bağlantı noktası 53’ün statik kullanımından kaynaklanmaktadır. Nozomi araştırmacıları Giannis Tsaraias ve Andrea Palanca’nın yazdığı gibi:
İşlem kimliğinin artık tahmin edilebilir olduğu göz önüne alındığında, bir saldırganın güvenlik açığından yararlanmak için doğru kaynak bağlantı noktasını içeren bir DNS yanıtı oluşturması ve ayrıca DNS sunucusundan gelen meşru DNS yanıtına karşı yarışı kazanması gerekir. Sorunun kullanılabilirliği tam olarak bu faktörlere bağlıdır. İşlev, herhangi bir açık kaynak bağlantı noktası rastgeleleştirmesi uygulamadığından, işletim sistemi sabit veya öngörülebilir bir kaynak bağlantı noktası kullanacak şekilde yapılandırılmışsa, sorundan güvenilir bir şekilde kolayca yararlanılabilir.
Nozomi, bilgisayar korsanlarının vahşi doğada güvenlik açığından yararlanmasını önlemek için etkilenen belirli satıcıları, cihaz modellerini veya yazılım sürümlerini listelemediğini söyledi. Araştırmacılar, “Ancak, bunların tüm kritik altyapılara dağıtılma şansları yüksek olan en son ürün yazılımı sürümlerini çalıştıran bir dizi iyi bilinen IoT cihazı olduğunu açıklayabiliriz” dedi.
Pazartesi günü Netgear, şirketin kütüphane güvenlik açıklarından haberdar olduğunu ve ürünlerinden herhangi birinin etkilenip etkilenmediğini değerlendirdiğini belirten bir tavsiye yayınladı.
Cihaz üreticisi, “Tüm Netgear ürünleri kaynak bağlantı noktası rastgeleleştirmesini kullanıyor ve şu anda etkilenen ürünlere karşı kullanılabilecek herhangi bir özel açıktan haberdar değiliz” dedi. Linksys ve Axis temsilcileri, cihazlarının savunmasız olup olmadığını soran e-postalara hemen yanıt vermedi.
Daha fazla ayrıntı olmadan, bu tehdidi önlemek için güvenlik rehberliği sağlamak zor. Potansiyel olarak etkilenen bir cihazı kullanan kişiler, önümüzdeki bir veya iki hafta boyunca güncellemeler için satıcı tavsiyelerini izlemelidir.
