安全性科研工作人员近期公布了九个漏洞,这种漏洞危害了起码1亿台设备,这种漏洞可以在设备上运作时兴TCP / IP网络通讯堆栈中的域名系统协议书的完成。
科学研究工作人员现在将这种漏洞统一取名为NAME:WRECK,网络攻击可以利用这种漏洞使受影响的设备离线或对它进行操纵。
这种漏洞是在普遍的TCP/IP协议栈中发觉的,这种tcp协议运作在从性能卓越网络服务器和互联网设备到监管和操纵工业生产设备的操控技术性(OT)系统软件等各式各样的商品上。
四个TCP / IP堆栈中的漏洞
NAME:WRECK的发觉是物联网技术企业安全生产企业Forescout和非洲安全性科学研究工作组JSOF的共同奋斗結果,它危害了DNS在下列TCP/IP协议栈中的完成:
FreeBSD(易受攻击的版本:12.1):BSD系列产品中最受欢迎的电脑操作系统之一;
IPnet(易受攻击的版本:VxWorks 6.6):由Interpeak最开始开发设计,如今由WindRiver维护保养,并由VxWorks嵌入式操作系统(RTOS)应用;
NetX(易受攻击的版本:6.0.1):是ThreadX RTOS的一部分,现在是Microsoft维护保养的一个开源软件,名字为Azure RTOS NetX;
Nucleus NET(易受攻击的版本:4.3):西门子公司Mentor Graphics维护保养的Nucleus RTOS的一部分,用以诊疗、工业生产、交易、航天航空和物联网技术设备。
依据Forescout的观点,在假定但行得通的情形下,网络攻击可以利用NAME:WRECK漏洞根据盗取隐秘数据、改动或无网设备开展毁坏,对政府部门或企业服务器、保健医疗设备、零售商或制造业企业导致巨大危害。
网络攻击还很有可能伪造住房或商业服务场合的重要建筑物功能,以操纵采暖和自然通风,禁止使用安全管理系统或伪造全自动灯光控制系统
NAME:WRECK漏洞
科学研究工作人员剖析了以上TCP / IP堆栈中的DNS完成,紧紧围绕协议书的消息压缩作用。
DNS回应数据多次包括同样网站域名或一部分域名的状况并许多见,因而存有一种缩小体制来减小DNS信息的尺寸。
不仅是DNS在线解析从这类编号中获益,并且它还具有于多播DNS (mDNS)、DHCP手机客户端和IPv6无线路由器通知中。
Forescout在一份汇报里表述说,虽然一些协议书并没有宣布适用缩小,但该作用还具有于很多完成中。产生这样的事情是因为编码器重或对标准的特殊了解。
科学研究工作人员强调,执行缩小体制一直是一项艰巨的任务,尤其是自2000年至今发觉了十多个漏洞。
务必留意的是,并不是全部NAME:WRECK都能够被利用来得到同样的結果。在其中最明显的不确定性危害是远程控制实行编码,最大严重后果优秀率被测算为9.8(100分10分)。
下列是九个漏洞的标识号和严重后果优秀率的引言。
如前表所显示,并不是全部漏洞都和消息压缩相关。这种除外是科研的副产物,可以与别的除外联络起來以扩张进攻的危害。
另一个除外是CVE-2016-20009。该漏洞最开始由Exodus Intelligence于2016年发觉,但并没有得到追踪号。虽然该商品不会再维护保养(损毁),但今日仍在应用。
Forescout规定Wind River申请办理CVE,但该公司早已好多个月沒有采取任何行为。因而,该企业向Exodus Intelligence明确提出了一样的规定,该漏洞最后于2021年1月得到了一个标志符。
利用单独漏洞的网络攻击很有可能没法获得较大的进攻实际效果,但根据将他们组成在一起,很有可能会导致受到破坏。
例如,网络攻击可以利用一个漏洞将随意数据信息载入易受攻击的设备的比较敏感储存部位,将另一种漏洞引入到数据中,随后将再利用第三个漏洞将其发给总体目标。
Forescout的汇报深入分析了相关技术性利用的关键技术,该技术性怎样利用该企业在对外开放源码TCP /IP堆栈中发觉的NAME:WRECK漏洞和AMNESIA:33结合中的漏洞,取得成功地造成取得成功的远程控制执行命令进攻。2020年12月08日,Forescout试验室发布了4个开源系统TCP/IP协议栈中被简称为AMNESIA:33的33个漏洞。这种漏洞的严重后果早已超过了基本安全性范畴,而且一直延长到开发设计等级。AMNESIA:33会危害DNS、IPv6、IPv4、TCP、ICMP、LLMNR和mDNS等7个不一样的部件,其危害包含远程控制执行命令、拒绝服务攻击、信息内容泄露、DNS缓存文件中毒了等。
该企业还探讨了好几个完成漏洞,这种漏洞在DNS信息在线解析中不停反复,称之为背面方式(anti-pattern),下列是造成NAME:WRECK漏洞产生的缘故:
1.缺乏TXID认证,任意TXID和源UDP端口号不够;
2.欠缺网站域名标识符认证;
3.缺乏标识和名字长短认证;
4.缺乏NULL停止认证;
5.缺乏纪录计数据段认证;
6.欠缺网站域名缩小表针和偏移认证;
NAME:WRECK的修复程序流程可用以FreeBSD,Nucleus NET和NetX,而且假如修复程序流程牵涉到受影响的商品,则可以避免漏洞利用。
因而,如今由设备经销商来将更改运用于仍可以升级的商品。可是,因为存有好几个阻碍,因而该全过程的通过率不大可能做到100%。
最先,操作工必须明确在受影响的设备上运转的TCP / IP堆栈。这并不一直一项非常容易的每日任务,由于有时候连设备经销商也不知道。
另一个阻碍是运用补丁包,在很多情形下,因为沒有规范化管理,因而必须手动式安裝该补丁包。此外,重要设备没法在离线中更,因此事实上不太可能做到100%的补丁包率。
更糟心的是,科学研究工作人员发觉新固定件有时候会运作不会受到适用的RTOS版本,该版本很有可能存有已经知道漏洞,例如,CVE-2016-20009。这也是十分令人堪忧的,由于假定新固定件不易遭到进攻,很有可能会致使互联网风险评价中的比较严重盲区。
可是,注安师可以采用一些减轻信息内容来开发设计检验DNS漏洞的签字:
1.发觉并核对运作易受攻击的堆栈的设备;
2.执行按段操纵和合理的网络信息安全查验;
3.关心受影响的设备经销商公布的补丁包;
4.配备设备依靠内部结构DNS服务器;
5.监管全部数据流量中能否有故意数据;
除此之外,Forescout还带来了2个对外开放源码专用工具,这种专用工具可以协助明确总体目标互联网设备是不是运作特殊的内嵌式TCP / IP堆栈(Project Memoria Detector)及其检验类似NAME:WRECK的漏洞。
文中翻譯自:https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/倘若转截,请标明全文详细地址。