Các nhà nghiên cứu bảo mật đã phát hiện ra chín lỗ hổng ảnh hưởng đến bốn ngăn xếp TCP / IP ảnh hưởng đến hơn 100 triệu thiết bị tiêu dùng và doanh nghiệp có thể bị kẻ tấn công khai thác để chiếm quyền kiểm soát một hệ thống dễ bị tấn công.
Được mệnh danh là “TÊN: WRECK“của Forescout và JSOF, các sai sót là lỗi mới nhất trong loạt nghiên cứu được thực hiện như một phần của sáng kiến có tên là Project Memoria nhằm nghiên cứu tính bảo mật của các ngăn xếp TCP / IP được sử dụng rộng rãi được các nhà cung cấp khác nhau kết hợp trong phần sụn của họ để cung cấp internet và mạng các tính năng kết nối.
Các nhà nghiên cứu cho biết: “Những lỗ hổng này liên quan đến việc triển khai Hệ thống tên miền (DNS), gây ra Từ chối dịch vụ (DoS) hoặc Thực thi mã từ xa (RCE), cho phép kẻ tấn công lấy thiết bị mục tiêu ngoại tuyến hoặc kiểm soát chúng”, các nhà nghiên cứu cho biết.
Tên này xuất phát từ thực tế là quá trình phân tích cú pháp tên miền có thể phá vỡ (tức là “phá hỏng”) việc triển khai DNS trong ngăn xếp TCP / IP, thêm vào một sự gia tăng gần đây về các lỗ hổng như Đã ký, SAD DNS, và DNSpooq tận dụng “danh bạ của internet” như một vectơ tấn công.
Chúng cũng đánh dấu lần thứ năm các điểm yếu bảo mật được xác định trong các ngăn xếp giao thức làm nền tảng cho hàng triệu thiết bị được kết nối internet –
Cụ thể, nghiên cứu mới nhất cung cấp một cái nhìn sâu hơn về “nén tin nhắn“chương trình được sử dụng trong giao thức DNS” loại bỏ sự lặp lại của tên miền trong thư “với mục đích giảm kích thước thư, phát hiện nhiều lỗ hổng trong FreeBSD (12.1), IPnet (VxWorks 6.6), Nucleus NET (4.3), và ngăn xếp NetX (6.0.1).
Trong một kịch bản tấn công hợp lý trong thế giới thực, kẻ thù có thể khai thác những lỗ hổng này để tìm đường vào mạng của tổ chức thông qua thiết bị kết nối internet đưa ra yêu cầu DNS tới máy chủ và lấy cắp thông tin nhạy cảm, hoặc thậm chí sử dụng chúng như một bước đệm để phá hoại thiết bị quan trọng.
Ngoại trừ IPnet, FreeBSD, Nucleus NET, và NetX đã phát hành tất cả các bản vá, yêu cầu các nhà cung cấp thiết bị sử dụng các phiên bản phần mềm dễ bị tấn công phải gửi một phần mềm cập nhật cho khách hàng của họ.
Nhưng cũng giống như các lỗi trước đó, có một số trở ngại trong việc áp dụng các bản sửa lỗi, điều gì xảy ra với việc thiếu thông tin liên quan đến ngăn xếp TCP / IP chạy trên một thiết bị, khó khăn trong việc cung cấp các bản vá vì các thiết bị không được quản lý tập trung hoặc chúng không thể được thực hiện ngoại tuyến do vai trò trung tâm của họ trong các quy trình quan trọng như chăm sóc sức khỏe và hệ thống kiểm soát công nghiệp.
Nói cách khác, bên cạnh nỗ lực cần thiết để xác định tất cả các thiết bị dễ bị tấn công, có thể mất một khoảng thời gian đáng kể trước khi các bản vá bảo mật chuyển từ nhà cung cấp ngăn xếp xuống phần sụn của thiết bị.
Thậm chí tệ hơn, trong một số trường hợp, việc đẩy một bản vá có thể không bao giờ khả thi, do đó nhiều thiết bị bị ảnh hưởng rất có thể sẽ tiếp tục bị tấn công trong nhiều năm tới hoặc cho đến khi chúng ngừng hoạt động.
Mặc dù một bản sửa lỗi nhanh chóng có thể không nằm trong tầm ngắm, nhưng điểm sáng trong phát hiện là có những biện pháp giảm thiểu giúp dễ dàng phát hiện những nỗ lực lợi dụng những sai sót này hơn. Để bắt đầu, Forescout đã phát hành một tập lệnh mã nguồn mở để phát hiện các thiết bị đang chạy các ngăn xếp bị ảnh hưởng. Ngoài ra, các nhà nghiên cứu cũng khuyến nghị thực thi các biện pháp kiểm soát phân đoạn mạng cho đến khi có các bản vá lỗi và giám sát tất cả lưu lượng mạng để tìm các gói dữ liệu độc hại cố gắng khai thác các lỗ hổng nhắm mục tiêu vào máy khách DNS, mDNS và DHCP.
Nghiên cứu cũng dự kiến sẽ được trình bày tại Black Hat Asia 2021 hội nghị ngày 6/5/2021.
Các nhà nghiên cứu cho biết: “NAME: WRECK là một trường hợp mà việc triển khai không tốt một phần cụ thể của RFC có thể gây ra những hậu quả tai hại lây lan qua các phần khác nhau của ngăn xếp TCP / IP và sau đó là các sản phẩm khác nhau sử dụng ngăn xếp đó”.
“Điều thú vị là chỉ cần không triển khai hỗ trợ nén (chẳng hạn như trong lwIP) là một biện pháp giảm thiểu hiệu quả chống lại loại lỗ hổng này. Vì việc tiết kiệm băng thông liên quan đến kiểu nén này gần như vô nghĩa trong thế giới kết nối nhanh, chúng tôi tin rằng hỗ trợ nén thông báo DNS hiện đang gây ra nhiều vấn đề hơn là nó có thể giải quyết được. “
