Lỗ hổng Wreck gây ảnh hưởng tới khoảng 100 triệu thiết bị IoT

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi ToanDV, 15/04/21, 08:04 AM.

  1. ToanDV

    ToanDV Moderator Thành viên BQT

    Tham gia: 02/02/21, 09:02 AM
    Bài viết: 26
    Đã được thích: 6
    Điểm thành tích:
    3
    Các nhà nghiên cứu bảo mật đã phát hiện ra chín lỗ hổng ảnh hưởng đến bốn ngăn xếp TCP / IP "stacks". Hacker có thể tấn công khai thác để chiếm quyền kiểm soát một hệ thống dễ bị tấn công.
    anh001.jpg
    Được Forescout và JSOF mệnh danh là "NAME: WRECK", là một phần của sáng kiến có tên là ProjectMemoria. Nhằm nghiên cứu tính bảo mật của các ngăn xếp TCP / IP được sử dụng rộng rãi được nhiều nhà cung cấp kết hợp trong phần sụn "firm-ware" của họ.

    Những lỗ hổng này liên quan đến việc triển khai Hệ thống tên miền (DNS), gây ra Từ chối dịch vụ (DoS) hoặc Thực thi mã từ xa (RCE), cho phép kẻ tấn công lấy thiết bị mục tiêu ngoại tuyến hoặc chiếm quyền kiểm soát chúng.

    Lỗ hổng này xuất phát từ việc phân tích cú pháp tên miền có thể phá vỡ "Wreck". Việc triển khai DNS trong ngăn xếp TCP / IP, thêm vào một sự gia tăng gần đây về các lỗ hổng như :SigRed, SAD DNS và DNSpooq.

    Các điểm yếu bảo mật được xác định trong giao thức ngăn xếp này bao gồm:
    • URGENT/11
    • Ripple20
    • AMNESIA:33
    • NUMBER:JACK
    Cụ thể, nghiên cứu đưa ra một cái nhìn sâu hơn về sơ đồ "nén thư" được sử dụng trong giao thức DNS để "loại bỏ sự lặp lại của tên miền trong thư" với mục đích giảm kích thước thư, phát hiện nhiều lỗ hổng trong FreeBSD (12.1 ), IPnet (VxWorks 6.6), Nucleus NET (4.3) và ngăn xếp NetX (6.0.1).

    anh002.jpg

    Trên thực tế, hacker có thể khai thác những lỗ hổng này để tìm cách xâm nhập mạng của tổ chức thông qua thiết bị kết nối internet đưa ra yêu cầu DNS tới máy chủ và lấy cắp thông tin nhạy cảm, hoặc thậm chí sử dụng chúng
    như bàn đạp để phá hoại thiết bị quan trọng.

    Ngoại trừ IPnet, FreeBSD, Nucleus NET và NetX đều đã phát hành các bản vá lỗi, yêu cầu các nhà cung cấp thiết bị sử dụng các phiên bản phần mềm dễ bị tấn công phải gửi một phần mềm cập nhật cho khách hàng của họ.

    Cũng như những lỗi trước đó, khó khăn trong việc cung cấp các bản vá vì các thiết bị không được quản lý tập trung, ngoại tuyến, tình trạng máy và hệ thống kiểm soát.

    Việc xác định thiết bị dễ tấn công cũng như việc cập nhật các bản vá bảo mật chuyển từ ngăn xếp xuống phần sụn của thiết bị. Thậm chí tệ hơn, vì việc đẩy một bản vá bảo mật có thể bất khả thi và các thiết bị này có thể bị tấn công nhiều lần cho tới khi nó dừng hoạt động.

    Nghiên cứu này nêu ra những biện pháp nhằm giảm thiểu và giúp phát hiện lỗ hổng này một cách dễ dàng hơn.

    Forescout đã phát hành một tập lệnh mã nguồn mở để phát hiện các thiết bị đang chạy các ngăn xếp bị ảnh hưởng. Ngoài ra, họ cũng khuyên người dùng nên thực thi các biện pháp kiểm soát phân đoạn mạng cho đến khi có các bản vá và giám sát tất cả lưu lượng mạng để tìm các gói độc hại cố gắng khai thác các lỗ hổng nhắm mục tiêu vào máy khách DNS, mDNS và DHCP.

    Nghiên cứu dự kiến sẽ được trình bày tại hội nghị Black Hat Asia 2021 vào ngày 6 tháng 5 năm 2021.

    "NAME: WRECK là một trường hợp mà việc triển khai không tốt một phần cụ thể của RFC có thể gây ra những hậu quả tai hại lây lan qua các phần khác nhau của ngăn xếp TCP / IP và sau đó là các sản phẩm khác nhau sử dụng ngăn xếp đó. Điều thú vị là chỉ cần không triển khai hỗ trợ nén (chẳng hạn như trong lwIP) là một biện pháp giảm thiểu hiệu quả ", các nhà nghiên cứu cho biết.

    Theo The Hacker News
     
    Chỉnh sửa cuối: 15/04/21, 09:04 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. nǝıH
  2. Sugi_b3o
  3. Lợn Con Bé Bỏng
  4. NgoPhong030898
  5. Đăng Minh Tuyên