Ungepatchte DNS-Lücke macht zahlreiche IoT-Geräte angreifbar
Die Schwachstelle steckt in einer Open-Source-Bibliothek. Deren Entwickler fehlen die Ressourcen zur Pflege der Bibliothek. Anfällige IoT-Geräte kommen auch in kritischen Infrastrukturen zum Einsatz.
Forscher der IoT-Sicherheitsfirma Nozomi Networks weisen auf eine seit zehn Jahren ungepatchte Sicherheitslücke in einer Bibliothek der Programmiersprache C hin. Sie macht IoT-Geräte anfällig für DNS Cache-Poisoning-Angriffe. Bisher sei es den Entwicklern der Bibliothek nicht gelungen, den Fehler zu beseitigen.
Laut Andrea Palanca, Forscher bei Nozomi, ist die DNS-Implementierung in den C-Bibliotheken uClibc und uClibc-ng, die in vielen IoT-Produkten zum Einsatz kommen, fehlerhaft. Sie generieren bei DNS-Antworten und -Anfragen vorhersehbare, inkrementelle Transaktions-Identifier.
Die Pflege von uClibc wurde demnach bereits 20212 mit der Version 0.9.33.2 eingestellt. Bei uClibc wiederum handelt es sich um eine Fork für das IoT-Betriebssystem OpenWRT, das auch im Bereich kritische Infrastrukturen eingesetzt wird. uClibc wiederum soll von Linksys, Netgear, Axis und mehreren Linux-Distributionen verwendet werden.
Da es keinen Patch für den Fehler gibt, hält Nozomi Details zu den getesteten Geräten zurück. Palanca zufolge wurde eine breite Palette von bekannten IoT-Geräten mit der jeweils neuesten Firmware und einer hohen Wahrscheinlichkeit, dass sie in kritischen Infrastrukturen eingesetzt werden, untersucht.
Details zu der Schwachstelle liegen dem ICS-CERT und dem CERT/CC vor. Der Entwickler der Bibliothek erklärte er selbst sei nicht in der Lage, den Fehler zu beseitigen. Unterstützung aus der Community wurde in den vergangenen sechs Monaten jedoch nicht gefunden. Die Zero-Day-Lücke zeigt erneut, dass sich die Lieferkette auf eine Open-Source-Community verlässt, der es wiederum an Ressourcen und Geldmitteln fehlt, um die an sie gestellten Sicherheitsanforderungen zu erfüllen.