Las vulnerabilidades de DNS exponen millones de …



Los investigadores descubren un nuevo conjunto de nueve vulnerabilidades en cuatro pilas de TCP / IP que se utilizan ampliamente en todo, desde potentes servidores y cortafuegos hasta productos de IoT para el consumidor.

Decenas de millones de dispositivos conectados a Online, incluidos equipos médicos, sistemas de almacenamiento, servidores, cortafuegos, equipos de redes comerciales y productos de Online de las cosas (IoT) para consumidores, están abiertos a posibles ataques de ejecución remota de código y de denegación de servicio debido a su vulnerabilidad. Implementaciones de DNS.

Un nuevo estudio que Forescout Investigation Labs y JSOF Research llevaron a cabo recientemente ha descubierto un conjunto de nueve vulnerabilidades en cuatro pilas de TCP / IP presentes en miles de millones de dispositivos en todo el mundo. Las cuatro pilas en las que existen las vulnerabilidades son FreeBSD, Nucleus Net, NetX e IPnet.

«Estas vulnerabilidades afectan a muchos dispositivos debido a la naturaleza generalizada de las implementaciones en pilas de TCP / IP», dice Daniel dos Santos, gerente de investigación de Forescout. De manera significativa, es probable que tales vulnerabilidades estén más extendidas que solo en las pilas de TCP / IP, dice. «Cualquier program que procese paquetes DNS puede verse afectado, como firewalls, sistemas de detección de intrusos y otros dispositivos de red», dice dos Santos. «Es por eso que estamos lanzando herramientas para que otros investigadores y desarrolladores encuentren y solucionen estos problemas».

FreeBSD se utiliza en muchos servidores de alto rendimiento, impresoras, cortafuegos y sistemas integrados implementados en redes de TI de todo el mundo, incluidas las principales empresas como Yahoo y Netflix. Nucleus Web es parte de Núcleo RTOS, un sistema operativo en tiempo authentic de Siemens que se utiliza en muchos sistemas industriales, médicos, de automatización y aerotransportados. El sistema operativo se encuentra más comúnmente en dispositivos utilizados para la automatización de edificios y en tecnología operativa y entornos VoIP. NetX es comúnmente ejecutado por ThreadX, un sistema operativo en tiempo authentic que se encuentra en muchos dispositivos médicos, equipos de energía, impresoras y equipos de energía en entornos de sistemas de manage industrial. Mientras tanto, la vulnerabilidad que Forescout y JSOF descubrieron en IPnet fue previamente descubierta por otros investigadores y solucionada silenciosamente, por lo que presenta una amenaza menor que las otras fallas.

En un nuevo reporte técnico, Forescout y JSOF describen el conjunto de nueve vulnerabilidades que descubrieron que brindan a los atacantes una forma de desconectar dispositivos o descargar malware en ellos para robar datos e interrumpir los sistemas de producción en entornos de tecnología operativa. Entre los más afectados se encuentran las organizaciones de los sectores de la salud y el gobierno debido al uso generalizado de dispositivos que ejecutan las implementaciones de DNS vulnerables en ambos entornos, dicen Forescout y JSOF.

Según las dos empresas, hay parches disponibles para las vulnerabilidades en FreeBSD, Nucleus Internet y NetX. Los proveedores de dispositivos que utilizan las pilas vulnerables deben proporcionar actualizaciones a los clientes. Pero debido a que no siempre es posible aplicar parches fácilmente, las organizaciones deben considerar medidas de mitigación, como descubrir e inventariar sistemas vulnerables, segmentarlos, monitorear el tráfico de la purple y configurar sistemas para que dependan de servidores DNS internos, dicen. Las dos empresas también lanzaron herramientas que otras organizaciones pueden utilizar para encontrar y corregir errores de implementación de DNS en sus propios productos.

Los proveedores de dispositivos a menudo no emiten parches para las vulnerabilidades que afectan a componentes de terceros que están integrados con otro application en sus productos, dice dos Santos. «Incluso si se emiten parches, deben aplicarse a dispositivos que son difíciles o imposibles de desconectar porque son de misión crítica», dice, señalando los dispositivos médicos y los sistemas de regulate industrial como ejemplos.

Compresión de mensajes
Forescout y JSOF descubrieron las nueve vulnerabilidades mientras realizaban un estudio sobre los problemas de seguridad subyacentes en las implementaciones del sistema de nombres Doman. El estudio fue parte de un esfuerzo de investigación más amplio llamado «Proyecto Memoria» que Forescout ha estado dirigiendo para comprender la seguridad de las pilas de TCP / IP. El esfuerzo ha llevado al descubrimiento de decenas de vulnerabilidades de pila TCP / IP durante el año pasado. En junio de 2020, Forescout y JSOF revelaron un conjunto de 19 vulnerabilidades, denominadas colectivamente Ripple20, en la pila Treck TCP / IP. En diciembre pasado, Forescout reveló Amnesia: 33, una colección de 33 errores en cuatro pilas TCP / IP de código abierto y en febrero de 2021, la compañía anunció Quantity: Jack, un conjunto de nueve vulnerabilidades en la implementación del llamado Número de secuencia inicial que se encuentra en nueve pilas de TCP / IP.

El último conjunto de nueve vulnerabilidades ha sido etiquetado colectivamente como Nombre: Wreck. Las dos empresas los descubrieron al analizar la implementación de lo que se conoce como compresión de mensajes DNS en un total de ocho pilas de TCP / IP. Cuatro de las pilas resultaron tener vulnerabilidades que variaban en severidad de moderada a crítica, aunque no todas las fallas estaban relacionadas con el protocolo de compresión de mensajes.

Dos Santos explica la compresión de mensajes como una característica del protocolo DNS que permite a los servidores enviar mensajes más cortos para ahorrar en el consumo de ancho de banda y por otras razones. Históricamente, el protocolo ha sido susceptible porque la forma en que funciona la descompresión les da a los atacantes una forma de manipularlo, dice. Cinco de las nueve vulnerabilidades reveladas recientemente fueron el resultado de un problema de compresión de memoria. La lista incluye un problema crítico de ejecución remota de código (RCE) en Nucleus Web, una falla de denegación de servicio (DoS) en NetX y una falla de RCE en FreeBSD.

Tres de las fallas, incluida una de gravedad crítica, existen en Nucleus Internet y son el resultado de problemas con un proceso llamado análisis de etiquetas de nombres de dominio. «El análisis de etiquetas de nombres de dominio es lo que debe hacer un cliente DNS cuando procesa un paquete DNS recibido de un servidor», dice dos Santos. Forescout y JSOF encontraron que, en algunos casos, la longitud de una etiqueta especificada en un paquete period diferente de su longitud genuine. En otros casos, no había marcadores para señalar el last de una etiqueta. «En ambos casos, el analizador puede continuar leyendo un paquete más allá de cierto punto donde la etiqueta ha terminado, lo que puede llevarlo a acceder a regiones de memoria protegidas y bloquear un dispositivo que ejecuta este código». La vulnerabilidad restante, también en Nucleus Internet, es de gravedad media y conduce al envenenamiento de la caché de DNS.

Las vulnerabilidades DoS son más fáciles de explotar que las fallas RCE porque el atacante solo necesita enviar paquetes mal formados para bloquear un dispositivo. «Las ejecuciones remotas de código son más difíciles porque el atacante tiene que crear un paquete de manera que secuestrará la ejecución del código en el dispositivo e inyectará código malicioso», dice dos Santos. Llevar a cabo un ataque de este tipo requeriría que el adversario tenga conocimiento sobre las partes internas de un dispositivo y cómo ajustar los ataques para diferentes dispositivos, dice.

Dos Santos dice que es difícil predecir cómo y en qué medida los atacantes explotarán las fallas recientemente reveladas. Pero ha habido numerosos ataques que aprovecharon debilidades similares en los servidores DNS anteriormente, dice. Como ejemplos, Santos señala un ataque de 2018 a un servicio de Amazon que redirigió a los usuarios de sitios world wide web de criptomonedas a dominios maliciosos, y una campaña de secuestro de servidores DNS en 2019 dirigida a agencias gubernamentales de todo el mundo. «Las vulnerabilidades que presentamos ahora afectan a los clientes de DNS», dice, «que es una parte algo pasada por alto de la seguridad de DNS que también permite ataques severos».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic