Getty Images
Les fabricants de matériel et de logiciels s’efforcent de déterminer si leurs produits souffrent d’une vulnérabilité critique récemment découverte dans des bibliothèques de code tierces utilisées par des centaines de fournisseurs, notamment Netgear, Linksys, Axis et la distribution Linux embarquée Gentoo.
La faille permet aux pirates ayant accès à la connexion entre un appareil affecté et Internet d’empoisonner les requêtes DNS utilisées pour traduire les domaines en adresses IP, ont déclaré lundi des chercheurs de la société de sécurité Nozomi Networks. En alimentant à plusieurs reprises un appareil vulnérable avec des adresses IP frauduleuses, les pirates peuvent forcer les utilisateurs finaux à se connecter à des serveurs malveillants qui se font passer pour Google ou un autre site de confiance.
La vulnérabilité, qui a été divulguée aux fournisseurs en janvier et rendue publique lundi, réside dans uClibc et uClibc fork uClibc-ng, qui fournissent tous deux des alternatives à la bibliothèque C standard pour Linux embarqué. Nozomi a déclaré que 200 fournisseurs intègrent au moins une des bibliothèques dans des produits qui, selon le responsable de uClibc-ng, incluent les éléments suivants :
La vulnérabilité et l’absence de correctif soulignent un problème avec les bibliothèques de code tierces qui s’est aggravé au cours de la dernière décennie. Beaucoup d’entre eux, même ceux comme la bibliothèque de cryptographie OpenSSL qui sont largement utilisées pour fournir des fonctions de sécurité cruciales, sont confrontés à des problèmes de financement qui compliquent la découverte et la correction des vulnérabilités de sécurité.
“Malheureusement, je n’ai pas été en mesure de résoudre le problème par moi-même et j’espère que quelqu’un de la communauté plutôt petite interviendra”, a écrit le responsable de uClibc-ng dans un forum ouvert discutant de la vulnérabilité. uClibc, quant à lui, n’a pas été mis à jour depuis 2010, selon la page de téléchargement de la bibliothèque.
Qu’est-ce que l’empoisonnement DNS, de toute façon ?
L’empoisonnement DNS et son parent d’empoisonnement du cache DNS permettent aux pirates de remplacer la recherche DNS légitime d’un site tel que google.com ou arstechnica.com (normalement 209.148.113.38 et 18.117.54.175 respectivement) par des adresses IP malveillantes qui peuvent se faire passer pour ces sites. lorsqu’ils tentent d’installer des logiciels malveillants, d’hameçonner des mots de passe ou d’effectuer d’autres actions néfastes.
Publicité
Découvert pour la première fois en 2008 par le chercheur Dan Kaminsky, l’empoisonnement DNS nécessite qu’un pirate informatique se fasse d’abord passer pour un serveur DNS faisant autorité, puis l’utilise pour inonder un résolveur DNS à l’intérieur d’un FAI ou d’un appareil avec de faux résultats de recherche pour un domaine de confiance. Lorsque l’adresse IP frauduleuse arrive avant la légitime, les utilisateurs finaux se connectent automatiquement au site imposteur. Le piratage a fonctionné car la transaction unique attribuée à chaque recherche était suffisamment prévisible pour que les attaquants puissent l’inclure dans de fausses réponses.
Les architectes Internet ont résolu le problème en modifiant le numéro de port source utilisé chaque fois qu’un utilisateur final recherche le numéro IP d’un domaine. Alors qu’auparavant, les recherches et les réponses ne transitaient que par le port 53, le nouveau système rendait aléatoire le numéro de port utilisé par les demandes de recherche. Pour qu’un résolveur DNS accepte une adresse IP renvoyée, la réponse doit inclure ce même numéro de port. Combiné avec un numéro de transaction unique, l’entropie a été mesurée en milliards, ce qui rend mathématiquement impossible pour les attaquants d’atterrir sur la bonne combinaison.
La vulnérabilité dans uClibc et uClibc-ng découle de la prévisibilité du numéro de transaction que les bibliothèques attribuent à une recherche et de leur utilisation statique du port source 53. Les chercheurs de Nozomi Giannis Tsaraias et Andrea Palanca ont écrit :
Étant donné que l’ID de transaction est désormais prévisible, pour exploiter la vulnérabilité, un attaquant devrait élaborer une réponse DNS contenant le port source correct, ainsi que gagner la course contre la réponse DNS légitime provenant du serveur DNS. L’exploitabilité du problème dépend exactement de ces facteurs. Comme la fonction n’applique aucune randomisation de port source explicite, il est probable que le problème puisse être facilement exploité de manière fiable si le système d’exploitation est configuré pour utiliser un port source fixe ou prévisible.
Nozomi a déclaré qu’il ne répertoriait pas les fournisseurs, modèles d’appareils ou versions de logiciels spécifiques qui sont affectés pour empêcher les pirates d’exploiter la vulnérabilité dans la nature. “Nous pouvons cependant révéler qu’il s’agissait d’une gamme d’appareils IoT bien connus exécutant les dernières versions de firmware avec de fortes chances qu’ils soient déployés dans toutes les infrastructures critiques”, ont écrit les chercheurs.
Lundi, Netgear a publié un avis indiquant que la société est consciente des vulnérabilités de la bibliothèque et évalue si l’un de ses produits est affecté.
“Tous les produits Netgear utilisent la randomisation du port source et nous n’avons actuellement connaissance d’aucun exploit spécifique qui pourrait être utilisé contre les produits concernés”, a déclaré le fabricant de l’appareil. Les représentants de Linksys et d’Axis n’ont pas immédiatement répondu aux e-mails demandant si leurs appareils étaient vulnérables.
Sans plus de détails, il est difficile de fournir des conseils de sécurité pour éviter cette menace. Les personnes utilisant un appareil potentiellement concerné doivent surveiller les avis du fournisseur pour les mises à jour au cours de la semaine ou des deux prochaines.
