Los investigadores conectan especificaciones complejas con el program …



Tras el lanzamiento de 70 vulnerabilidades diferentes en diferentes implementaciones de pilas de TCP / IP durante el año pasado, dos empresas encuentran un vínculo común.

Seis errores comunes en la implementación de software program de pink llevaron a decenas de vulnerabilidades, destacando el impacto que los requisitos de diseño complejos y las especificaciones ambiguas pueden tener en la seguridad del computer software, según dos investigadores de seguridad que planean hablar en la conferencia Black Hat Asia de la próxima semana.

Daniel dos Santos, gerente de investigación de la firma de seguridad de purple Forescout, y Shlomi Oberman, CEO de la consultora de seguridad JSOF, discutirán el trabajo colaborativo de sus equipos para definir seis anti-patrones, o errores comunes de software package, que han llevado a vulnerabilidades en una variedad de Pilas de TCP / IP. Las dos empresas han revelado una letanía de vulnerabilidades durante el año pasado, muchas de ellas causadas por uno de los seis anti-patrones.

La ambigüedad y la complejidad en el protocolo DNS han causado los problemas, dice dos Santos.

«Debido a la complejidad de la especificación de DNS, los tipos de vulnerabilidad que conocemos desde hace 20 años están apareciendo en las implementaciones de pilas de redes», dice. «Cuanto más complejo se vuelve el application o el protocolo, más difícil es implementarlo, por lo que debemos hacerlo lo menos complejo posible, lo que no siempre es posible».

A principios de este mes, Forescout y JSOF revelaron nueve vulnerabilidades que afectaban a cuatro pilas de TCP / IP diferentes y podrían afectar a cientos de millones de dispositivos de crimson y de World-wide-web de las cosas (IoT). Las vulnerabilidades, denominadas «Name: WRECK» por las empresas, son las últimas revelaciones provenientes de su investigación sobre las implementaciones de los proveedores que manejan el tráfico del sistema de nombres de dominio (DNS). Su investigación, denominada Proyecto Memoria, también incluye «Ripple20», un conjunto de 19 vulnerabilidades que afectaron la pila Treck TCP / IP, entre otras «AMNESIA: 20», un conjunto de 33 vulnerabilidades que afectan a cuatro pilas TCP / IP de código abierto diferentes y «Quantity: JACK», un conjunto de nueve vulnerabilidades que afectan las implementaciones de números de secuencia inicial (ISN).

Las empresas evaluaron 15 implementaciones de program de redes diferentes, a menudo llamadas «pila», y encontraron que siete tenían vulnerabilidades debido a errores en la implementación de una función de DNS específica.

«En Undertaking Memoria, aprendimos que a menudo el mismo mistake (anti-patrón) conduce a vulnerabilidades similares en diferentes pilas», afirmaron los investigadores en un reporte técnico publicado a principios de este mes. «Instamos a los desarrolladores de pilas TCP / IP que, todavía, han sido analizadas a tomar los anti-patrones … (y) verificar su código para detectar la presencia de errores y corregirlos».

El último conjunto de vulnerabilidades se generate en la forma en que diferentes proveedores implementaron una función de DNS conocida como compresión de mensajes. Debido a que las respuestas de DNS a menudo incluyen el nombre del dominio específico varias veces, la compresión de mensajes permite que las implementaciones de program reduzcan el tamaño de los mensajes de DNS.

Los investigadores&#39 discussion en Black Hat Asia se centrará en cómo la complejidad de la especificación, específicamente, los detalles técnicos para implementar la compresión de mensajes, ha llevado a una variedad de vulnerabilidades diferentes. En un caso, una palabra – «puede» compared to «debe» – resultó en diferentes problemas de seguridad debido a un único anti-patrón.

«Es de destacar que cuando una pila tiene un cliente DNS susceptible, a menudo hay varias vulnerabilidades juntas, pero el antipatrón de compresión de mensajes se destaca porque comúnmente conduce a una potencial (ejecución remota de código), ya que a menudo se asocia con la manipulación del puntero. y operaciones de memoria «, según el informe.

Como parte de su investigación, las empresas han publicado un informe técnico que analiza los seis anti-patrones de DNS, un script de código abierto para identificar dispositivos vulnerables en la red, un conjunto de consultas para buscar dispositivos de red vulnerables y una solicitud modificada de borrador de comentarios (RFC) que contiene más información para los desarrolladores sobre cómo evitar ciertos errores de implementación.

«Esta investigación es una prueba más de que la complejidad del protocolo DNS conduce a varias implementaciones vulnerables y que la comunidad debería actuar para solucionar un problema que creemos que está más extendido de lo que sabemos actualmente», afirmaron las empresas en su informe.

Si bien se han revelado las vulnerabilidades y los proveedores afectados han emitido parches para los problemas, a dos Santos le preocupa que los parches no ocurran rápidamente.

«Este tipo de investigación realmente destaca que existe un problema de la cadena de suministro con los dispositivos de IoT. Cualquier vulnerabilidad parcheada por un proveedor aún debe implementarse en el program», dice. «Pero el parcheo es difícil. Cada dispositivo en su crimson puede ser susceptible. Cada uno probablemente tiene un procedimiento diferente para parchear, y debe desconectarlos».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Examining, MIT&#39s Know-how Evaluation, Well-known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary