Dlaczego luki w zabezpieczeniach DNS stanowią zagrożenie dla milionów urządzeń połączonych z Internetem?

O jakie luki chodzi? Jakie rodzaje urządzeń są zagrożone? Dlaczego w zabezpieczeniach DNS pojawiły się luki? Na czym polega kompresja wiadomości w protokole DNS?

Dlaczego luki w zabezpieczeniach DNS stanowią zagrożenie dla milionów urządzeń połączonych z
  • Jan Wróblewski
  • /
  • 14 kwietnia 2021

Jakie urządzenia są zagrożone?

Mowa tu o dziesiątkach milionów urządzeń podłączonych do Internetu, w których zakres wchodzą między innymi:

  • systemy pamięci masowej, 

  • sprzęt medyczny, 

  • serwery, 

  • firewalle, 

  • sprzęt sieci komercyjnej i konsumenckie produkty Internetu (IoT)

Wszystkie wymienione urządzenia (ze względu na podatność na ataki Implementacje DNS) są niestety narażone na potencjalne wykonanie (zdalnie) kodu i ataki typu „odmowa usługi”. Wspomniane luki, które szczegółowo omówimy w tym tekście, odkryto w ramach przeprowadzonego przez Forescout Research Labs i JSOF Research badania. Dzięki niemu ujawniono zestaw dziewięciu luk w czterech stosach TCP/IP, które są obecne w milionach urządzeń na całym świecie. 

W jakich stosach stwierdzono luki?

Cztery stosy, w których stwierdzono luki, to:

  • FreeBSD, 

  • Nucleus NET, 

  • NetX

  • i IPnet.

Warto wiedzieć, że wpływają one na wiele urządzeń ze względu na powszechny charakter implementacji w stosach TCP/IP. Wskazane luki najprawdopodobniej zostały rozpowszechnione nie tylko w stosach TCP/IP. To z kolei może mieć wpływ na każde oprogramowanie przetwarzające pakiety DNS, w tym:

Jeżeli jesteś administratorem danych lub IOD

możesz liczyć na nasze wsparcie w zakresie RODO w Twojej firmie

Jeżeli jesteś administratorem danych lub IOD

możesz liczyć na nasze wsparcie w zakresie RODO w Twojej firmie

Jeżeli jesteś administratorem danych lub IOD

możesz liczyć na nasze wsparcie w zakresie RODO w Twojej firmie

  • firewall, 

  • systemy wykrywania włamań 

  • i inne urządzenia sieciowe

Do czego służy FreeBSD?

FreeBSD używany jest m.in. w:

  • wysokowydajnych serwerach, 

  • drukarkach, 

  • firewall 

  • i wbudowanych systemach, które są rozmieszczone w sieciach IT na całym świecie. 

Czym jest Nucleus NET?

Nucleus NET jest częścią Nucleus RTOS, czyli systemu operacyjnego czasu rzeczywistego firmy Siemens. Jest on używany w wielu systemach przemysłowych, medycznych, automatycznych i lotniczych. Najczęściej spotykany jest w urządzeniach służących do automatyzacji budynków oraz w technologii operacyjnej i środowiskach VoIP. 

Do czego służy NetX?

NetX to powszechnie obsługiwany przez ThreadX, system operacyjny czasu rzeczywistego. Można go znaleźć w:

  • urządzeniach medycznych, 

  • sprzęcie energetycznym, 

  • drukarkach

  • i sprzęcie zasilającym w środowiskach przemysłowych systemów sterowania. 

Co ciekawe luka znaleziona przez Forescout i JSOF, już wcześniej została odkryta i (po cichu) naprawiona przez innych badaczy, przez co stanowi mniejsze zagrożenie.

Co odkryto w ramach badań?

W ramach badania przeprowadzonego przez Forescout i JSOF odkryto dziewięć luk, które dotyczą podstawowych problemów bezpieczeństwa we wdrożeniach Doman Name System. Co ważne, badanie było częścią szerszego przedsięwzięcia badawczego zwanego „Projektem Memoria”, prowadzonego przez Forescout w celu zrozumienia bezpieczeństwa stosów TCP/IP. 

Doprowadziło to do ​​odkrycia wielu luk w zabezpieczeniach stosu TCP/IP w ciągu ostatniego roku. Jedynie w czerwcu 2020 roku Forescout i JSOF ujawniły zestaw zawierający aż 19 luk w zabezpieczeniach.

W grudniu ubiegłego roku Forescout ujawnił zbiór 33 błędów występujących w czterech open source'owych stosach TCP/IP, natomiast w lutym 2021 roku firma przedstawiła zestaw dziewięciu luk w tak zwanej implementacji Initial Sequence Number, które można znaleźć w dziewięciu stosach TCP/IP.

Najnowszy zestaw składający się z dziewięciu luk w zabezpieczeniach, oznaczono jako Wreck. Obie firmy odkryły je, analizując implementację kompresji wiadomości DNS w ośmiu stosach TCP/IP. Podczas badania okazało się, że cztery z tych stosów mają luki. Ich nasilenie różni się i można je podzielić od umiarkowanych do krytycznych. Warto również zaznaczyć, że nie wszystkie błędy były związane z protokołem kompresji wiadomości.

Czym jest kompresja wiadomości?

Kompresja wiadomości jest funkcją protokołu DNS, dzięki której serwery mogą wysyłać krótsze wiadomości w celu zaoszczędzenia na zużyciu przepustowości. Co ciekawe, odkryto również, że protokół od dawna był podatny na ataki. Ma to bezpośredni związek ze sposobem, w jaki działa dekompresja, tym samym dając atakującym możliwość manipulowania nim. Warto zwrócić uwagę na to, że aż pięć z dziewięciu nowo ujawnionych luk w zabezpieczeniach wynikało z problemu z kompresją pamięci.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!