在最新的网络安全研究中,发现一个未修复的关键安全漏洞被泄露,利用该漏洞可以对物联网产品造成巨大的安全威胁。该漏洞于2021年9月首次报告,影响了用于开发嵌入式Linux系统的两个流行C库uClibc和uClibc-ng的域名DNS系统的实现。
据中国网络安全行业门户网站Niuniu.com报道,uClibc被linksys、Netgear和Axis等主要供应商以及Embedded Gentoo等Linux发行版使用,这可能会使数百万台万物互联设备面临巨大的安全威胁。
据网络研究人员称,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性造成的,这可能允许攻击者对目标设备进行DNS中毒攻击。
DNS中毒又称DNS欺骗,是一种破坏DNS解析器缓存的技术,目的是将用户的域名解析请求重定向到恶意网站。
据中国网络安全行业门户网站Niuniu.com报道,uClibc和uClibc-ng中的漏洞是由于分配给每个DNS查找的可预测事务ID及其对源端口53的静态使用,从而有效地破坏了源端口的随机化保护。
成功利用此漏洞可能允许对手进行中间人攻击并破坏DNS缓存,从而将互联网流量重定向到他们控制的恶意服务器。安全研究人员警告说,如果操作系统被配置为使用固定或可预测的源端口,则该漏洞很容易以可靠的方式被利用,然后攻击者可以窃取和操纵用户传输的信息,并对这些设备进行其他攻击。
