Routers en IoT-devices van verschillende grote fabrikanten hebben last van een kwetsbaarheid in third-party code libraries. De kwetsbaarheid bevindt zich in de DNS-component van de libraries en maakt het mogelijk frauduleuze IP-adressen aan deze devices toe te wijzen.

Volgens securityonderzoekers van Nozomi Networks lopen mogelijk miljoenen IoT-devices DNS poisoning-risico’s. Hackers kunnen door de kwetsbaarheid de IP-adressen van de devices verbinden met kwaadaardige servers die legitiem lijken te zijn. Wanneer de hackers toegang hebben tot de verbinding tussen de devices en het internet, zijn zij in staat de DNS-verzoeken die domeinen naar IP-adressen vertalen te spoofen. Vervolgens kunnen zij zo de getroffen devices overnemen.

uClibc- en uClibc-ng-libraries

De kwetsbaarheid zit in uClibc- en de uClibc fork uClibc-ng-libraries. Dit zijn code libraries die allebei een alternatief vormen voor de standaard C library voor embedded Linux-code. De kwetsbaarheid heeft vooral te maken met de voorspelbaarheid van het transactienummer die de libraries toewijzen aan een lookup en het statische gebruik van deze libraries van bronpoort 53, zo geven de onderzoekers van Nozomi Networks aan.

Diverse fabrikanten getroffen

Veel IoT-devices van verschillende leveranciers gebruiken de betreffende libraries. Onder de getroffen fabrikanten zijn onder meer Linksys, met zijn WRT54G – Wireless-G Broadband Router, Netgear, met de WG602 wireless router, netwerkcamera’s van Axis en de Tuxscreen Linux Phone. Netgear heeft inmiddels al een security alert voor de kwetsbaarheid doen uitgaan.

Daarnaast zijn ook een aantal specifieke software- en codetoepassingen getroffen, waaronder embedded Gentoo, Buildroot en LEAF Bering-uClibc. Deze laatste oplossing is de opvolger van het Linux Router Project dat de toepassing van het open-source besturingssysteem voor gateways, routers en firewalls ondersteunt. Het betekent dat wellicht nog meer van dit soort devices openstaan voor hackpogingen via de nu aangetroffen kwetsbaarheid.

Tip: Kritieke kwetsbaarheden in groot aantal Aruba- en Avaya-switches