Een kwetsbaarheid in een populaire C-bibliotheek maakt IoT-toestellen en routers wereldwijd kwetsbaar voor zogenaamde DNS poisoning-aanvallen.
Toestellen van meer dan 200 fabrikanten zijn kwetsbaar voor een bug in uClibc. uClibc is een C standard-bibliotheek die massaal wordt geïntegreerd in de firmware van IoT-toestellen en routers. De bibliotheek biedt tal van veelvoorkomende functies en wordt onder andere gebruikt om DNS-lookups uit te voeren, domeinnamen te vertalen naar IP-adressen en meer.
Voorspelbaar transactie-ID
Onderzoekers van Nozomi Networks ontdekten eigenaardigheden in de interne opzoekfunctie van de bibliotheek bij de uitvoering van een DNS requests. Het transactie-ID dat bij zo’n request hoort, moet in principe willekeurig zijn. Dat voorkomt dat aanvallers een legitieme request voor gegevens over een website beantwoorden met malafide gegevens. Zoiets heet DNS poisoning.
De ID’s gegenereerd via de uClibc-bibliotheek zijn echter wel voorspelbaar. Dat laat hackers toe om in specifieke omstandigheden een DNS poisoning-aanval uit te voeren. In dat geval wordt een legitiem DNS request valselijk beantwoord. Jij probeert bijvoorbeeld naar ITdaily.be te surfen, maar de hacker kan je router misleiden en je naar een zelfgemaakte spoofing-website sturen zonder dat je daar erg in hebt. In essentie laat de bug een aanvaller toe om trafiek via zijn eigen server om te leiden en data te stelen.
Veel gebruikt
uClibc en variant uClibc-ng worden gebruikt door grote fabrikanten zoals Axis, Netgear en Linksys. De bug zit ook in verschillende versies van Linux die gericht zijn op IoT-toepassingen. De kwetsbaarheid doet zo denken aan Log4Shell. Ook daar zorgde een kwetsbaarheid in een populaire bibliotheek (Log4j) ervoor dat software van fabrikanten wereldwijd plots kwetsbaar was voor aanvallen. Nozomi Networks bracht CISA in de VS in september 2021 op de hoogte van de bug. In januari 2022 werden alle potentieel geïmpacteerde fabrikanten ingelicht.
Er bestaat op dit moment nog geen patch maar de getroffen partijen werken eraan. Wanneer de patch voor de kwetsbare bibliotheek klaar is, moeten fabrikanten die integreren in een nieuwe versie van hun firmware. Die moeten ze vervolgens uitrollen naar IoT-toestellen en routers: net twee categorieën van hardware waarbij updates al te vaak vergeten worden. In veel gevallen is het immers aan de gebruiker zelf om manueel een update uit te voeren. Je kan er vanop aan dat menig kmo of thuiswerker zelden tot nooit in de instellingen van de router kruipt.
Het is onduidelijk hoe eenvoudig het is voor hackers om het probleem te misbruiken. In afwachting zijn miljoenen toestellen in ieder geval kwetsbaar. Hou zelf in het oog of je router of IoT-toestel in de nabije toekomst geen update krijgt en installeer die meteen. Dat is ook los van deze bug goede raad.