Dlaczego luki w zabezpieczeniach DNS stanowią zagrożenie dla milionów urządzeń połączonych z Internetem?
O jakie luki chodzi? Jakie rodzaje urządzeń są zagrożone? Dlaczego w zabezpieczeniach DNS pojawiły się luki? Na czym polega kompresja wiadomości w protokole DNS?

- Jan Wróblewski
- /
- 14 kwietnia 2021
Jakie urządzenia są zagrożone?
Mowa tu o dziesiątkach milionów urządzeń podłączonych do Internetu, w których zakres wchodzą między innymi:
systemy pamięci masowej,
sprzęt medyczny,
serwery,
firewalle,
sprzęt sieci komercyjnej i konsumenckie produkty Internetu (IoT)
Wszystkie wymienione urządzenia (ze względu na podatność na ataki Implementacje DNS) są niestety narażone na potencjalne wykonanie (zdalnie) kodu i ataki typu „odmowa usługi”. Wspomniane luki, które szczegółowo omówimy w tym tekście, odkryto w ramach przeprowadzonego przez Forescout Research Labs i JSOF Research badania. Dzięki niemu ujawniono zestaw dziewięciu luk w czterech stosach TCP/IP, które są obecne w milionach urządzeń na całym świecie.
W jakich stosach stwierdzono luki?
Cztery stosy, w których stwierdzono luki, to:
FreeBSD,
Nucleus NET,
NetX
i IPnet.
Warto wiedzieć, że wpływają one na wiele urządzeń ze względu na powszechny charakter implementacji w stosach TCP/IP. Wskazane luki najprawdopodobniej zostały rozpowszechnione nie tylko w stosach TCP/IP. To z kolei może mieć wpływ na każde oprogramowanie przetwarzające pakiety DNS, w tym:
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
firewall,
systemy wykrywania włamań
i inne urządzenia sieciowe
Do czego służy FreeBSD?
FreeBSD używany jest m.in. w:
wysokowydajnych serwerach,
drukarkach,
firewall
i wbudowanych systemach, które są rozmieszczone w sieciach IT na całym świecie.
Czym jest Nucleus NET?
Nucleus NET jest częścią Nucleus RTOS, czyli systemu operacyjnego czasu rzeczywistego firmy Siemens. Jest on używany w wielu systemach przemysłowych, medycznych, automatycznych i lotniczych. Najczęściej spotykany jest w urządzeniach służących do automatyzacji budynków oraz w technologii operacyjnej i środowiskach VoIP.
Do czego służy NetX?
NetX to powszechnie obsługiwany przez ThreadX, system operacyjny czasu rzeczywistego. Można go znaleźć w:
urządzeniach medycznych,
sprzęcie energetycznym,
drukarkach
i sprzęcie zasilającym w środowiskach przemysłowych systemów sterowania.
Co ciekawe luka znaleziona przez Forescout i JSOF, już wcześniej została odkryta i (po cichu) naprawiona przez innych badaczy, przez co stanowi mniejsze zagrożenie.
Co odkryto w ramach badań?
W ramach badania przeprowadzonego przez Forescout i JSOF odkryto dziewięć luk, które dotyczą podstawowych problemów bezpieczeństwa we wdrożeniach Doman Name System. Co ważne, badanie było częścią szerszego przedsięwzięcia badawczego zwanego „Projektem Memoria”, prowadzonego przez Forescout w celu zrozumienia bezpieczeństwa stosów TCP/IP.
Doprowadziło to do odkrycia wielu luk w zabezpieczeniach stosu TCP/IP w ciągu ostatniego roku. Jedynie w czerwcu 2020 roku Forescout i JSOF ujawniły zestaw zawierający aż 19 luk w zabezpieczeniach.
W grudniu ubiegłego roku Forescout ujawnił zbiór 33 błędów występujących w czterech open source'owych stosach TCP/IP, natomiast w lutym 2021 roku firma przedstawiła zestaw dziewięciu luk w tak zwanej implementacji Initial Sequence Number, które można znaleźć w dziewięciu stosach TCP/IP.
Najnowszy zestaw składający się z dziewięciu luk w zabezpieczeniach, oznaczono jako Wreck. Obie firmy odkryły je, analizując implementację kompresji wiadomości DNS w ośmiu stosach TCP/IP. Podczas badania okazało się, że cztery z tych stosów mają luki. Ich nasilenie różni się i można je podzielić od umiarkowanych do krytycznych. Warto również zaznaczyć, że nie wszystkie błędy były związane z protokołem kompresji wiadomości.
Czym jest kompresja wiadomości?
Kompresja wiadomości jest funkcją protokołu DNS, dzięki której serwery mogą wysyłać krótsze wiadomości w celu zaoszczędzenia na zużyciu przepustowości. Co ciekawe, odkryto również, że protokół od dawna był podatny na ataki. Ma to bezpośredni związek ze sposobem, w jaki działa dekompresja, tym samym dając atakującym możliwość manipulowania nim. Warto zwrócić uwagę na to, że aż pięć z dziewięciu nowo ujawnionych luk w zabezpieczeniach wynikało z problemu z kompresją pamięci.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?