Hace poco fue descubierta una vulnerabilidad en las bibliotecas de códigos de terceros, las cuales son utilizadas por cientos de proveedores, incluyendo Netgear, Linksys, Axis y la también distribución de Linux integrada. Este fallo tiene corriendo a los fabricantes de hadware y software, quienes se han apresurado en determinar si sus productos sufren algún fallo crítico.
El error permite a los hackers con acceso a la conexión entre un dispositivo afectado y el Internet envenenar las solicitudes de DNS utilizadas para traducir los dominios a direcciones IP, así lo señalaron los investigadores de la empresa de seguridad Nozomi Networks. Cuando se alimenta un dispositivo vulnerable con direcciones IP fraudulentas en varias oportunidades, los hackers pueden forzar a los usuarios finales a conectarse a servidores maliciosos, quienes se hacen pasar por Google o cualquier sitio de confianza.
Esta vulnerabilidad, se reveló durante el mes de enero a los proveedores y fue hasta ahora que se hizo pública, específicamente el pasado lunes 2 de mayo, es decir cuatro meses después de ser encontrada. Por su parte la vulnerabilidad reside en uClibc y uClibc fork uClibc-ng, que proporcionan alternativas a la biblioteca C estándar para Linux embebido. Se dice que acerca de 200 vendedores incorporan al menos una de las bibliotecas en productos que, según el mantenedor de uClibc-ng, incluyen los siguientes:
Linksys WRT54G - Router de banda ancha inalámbrica 802.11g
Router inalámbrico NetGear WG602
La mayoría de las cámaras de red Axis
Gentoo embebido
Buildroot, un medio configurable para construir sistemas basados en busybox/uClibc.
LEAF Bering-uClibc, el sucesor del Proyecto Linux Router que soporta gateways, routers y firewalls
Teléfono Linux Tuxscreen.
La vulnerabilidad y la falta de un parche ponen de manifiesto un problema con las bibliotecas de código de terceros que se ha agravado en la última década. Muchas de ellas (incluso las que, como la biblioteca de criptografía OpenSSL, se utilizan ampliamente para proporcionar funciones de seguridad cruciales), se enfrentan a una escasez de fondos que dificulta el descubrimiento y el parcheado de las vulnerabilidades de seguridad.
"Desgraciadamente, no he podido solucionar el problema por mí mismo y espero que alguien de la pequeña comunidad se anime a hacerlo", escribió el encargado de mantenimiento de uClibc-ng en un foro abierto en el que se hablaba de la vulnerabilidad. uClibc, por su parte, no se ha actualizado desde 2010, según la página de descargas de la biblioteca.
¿De qué trata el envenenamiento DNS?
El envenenamiento de DNS y su pariente de envenenamiento de caché de DNS permiten a los hackers reemplazar la búsqueda legítima de DNS para un sitio web, como google.com (IP legitima de google varia dependiendo de la region) con direcciones IP maliciosas que pueden hacerse pasar por esos sitios mientras intentan instalar malware, suplantar contraseñas o llevar a cabo otras acciones nefastas.
Fue descubierto en 2008 por el investigador Dan Kaminsky, el envenenamiento de DNS requiere que un hacker se haga pasar primero por un servidor DNS autorizado y luego lo utilice para inundar la resolución de DNS dentro de un ISP o dispositivo con resultados de búsqueda falsos para un dominio de confianza. Cuando la dirección IP fraudulenta llega antes que la legítima, los usuarios finales se conectan automáticamente al sitio impostor. El hack funcionaba porque la transacción única asignada a cada búsqueda era lo suficientemente predecible como para que los atacantes pudieran incluirla en las respuestas falsas y la mayoría de las implementaciones DNS no es segura.
Los arquitectos de Internet solucionaron el problema cambiando el número de puerto de origen utilizado cada vez que un usuario final busca el número IP de un dominio. Mientras que antes las búsquedas y las respuestas viajaban sólo por el puerto 53, el nuevo sistema elige aleatoriamente el número de puerto origen que utilizan las solicitudes de búsqueda. Para que un servidor DNS acepte una dirección IP devuelta, la respuesta debe incluir ese mismo número de puerto origen, combinado con un número de transacción único, la entropía se medía en miles de millones lo que hacía matemáticamente inviable que los atacantes dieran con la combinación correcta.
La vulnerabilidad de uClibc y uClibc-ng se debe a la previsibilidad del número de transacción que las bibliotecas asignan a una búsqueda y a su uso estático del puerto fuente 53. Los investigadores de Nozomi Giannis Tsaraias y Andrea Palanca escribieron:
“Dado que el ID de transacción es ahora predecible, para explotar la vulnerabilidad un atacante necesitaría elaborar una respuesta DNS que contenga el puerto de origen correcto, así como ganar la carrera contra la respuesta DNS legítima entrante desde el servidor DNS. La posibilidad de explotar el problema depende exactamente de estos factores. Como la función no aplica ninguna aleatorización explícita del puerto de origen, es probable que el problema pueda explotarse fácilmente de forma fiable si el sistema operativo está configurado para utilizar un puerto de origen fijo o predecible.”
Nozomi dijo que no estaba enumerando los proveedores específicos, los modelos de dispositivos o las versiones de software que están afectados para evitar que los hackers exploten la vulnerabilidad en la naturaleza. "Sin embargo, podemos revelar que se trata de una serie de dispositivos IoT muy conocidos que ejecutan las últimas versiones de firmware con una alta probabilidad de que estén desplegados en toda la infraestructura crítica", escribieron los investigadores.
Este lunes, Netgear emitió un aviso diciendo que la compañía es consciente de las vulnerabilidades de la biblioteca y está evaluando si alguno de sus productos está afectado.
"Todos los productos de Netgear utilizan la aleatorización de puertos de origen y actualmente no tenemos conocimiento de ningún exploit específico que pueda ser utilizado contra los productos afectados", indicó el fabricante de dispositivos.
Por otro lado, los representantes de Linksys y Axis no se han pronunciado.
Finalmente, no es sencillo evitar este tipo de amenazas, lo más recomendable es que quienes tengan dispositivos que hayan sido vulnerados, lo mejor que pueden hacer es estar al pendiente de cualquier aviso de sus proveedores sobres las próximas actualizaciones o las prevenciones que deben tomar al respecto.