Actualités

NAME:WRECK : mise en lumière de 9 vulnérabilités au sein de 4 piles TCP / IP permettant un exploit potentiel de type DoS ou RCE depuis des DNS !

Les équipes Forescout Research Labs et JSOF Research viennent de soulever des failles dangereuses au sein des DNS (Domain Name System) : au nombre de 9, elles impactent directement les 4 piles TCP / IP largement utilisées ou connues telles que FreeBSD, Nucleus NET, IPnet et NetX. Si l’exploit est réussit, un cyber-attaquant peut provoquer un Denial-of-Service (Déni de Service ou DoS) voire une exécution distante de code depuis le DNS ainsi infecté…

 

 

“Les nouvelles vulnérabilités apparaissent dans les logiciels informatiques bien connus (FreeBSD) et dans les micrologiciels IoT / OT populaires, tels que Nucleus NET de Siemens. FreeBSD est largement connu pour être utilisé pour les serveurs hautes performances de millions de réseaux informatiques, y compris les principaux sites Web tels que Netflix et Yahoo [..] Tous les périphériques exécutant Nucleus RTOS ou FreeBSD ne sont pas vulnérables à NAME: WRECK. Cependant, si nous supposons prudemment que 1% des plus de 10 milliards de déploiements sont vulnérables, nous pouvons estimer qu’au moins 100 millions d’appareils sont affectés par NAME: WRECK […] Nous avons analysé l’implémentation de la compression des messages DNS dans 7 nouvelles piles TCP / IP et constaté que 50% d’entre elles sont vulnérables“, est-il résumé au sein du papier technique décrivant NAME:WRECK, indiquant une relation indirecte (en terme de similarité) aux autres vulnérabilités découvertes sous les PoC AMNESIA (sur 33 failles, 2 similaires) et Ripple20 (sur 19 failles, 1 similaire).

Sur les 9 failles, 3 sont qualifiées de critiques (CVE-2016-20009 – une vulnérabilité de 2016 et qui aurait dû être revue par Wind River, sur conseil de l’équipe Exodus Intelligence, en fin d’année 2020 – CVE-2020-15795 et CVE-2020-27009) et 6 comme étant modérées ou hautes (CVE-2020-7461, CVE-2020-27736, CVE-2020-27737, CVE-2020-27738, CVE-2021-25677 et une faille dont le numéro d’assignation est en “attente” d’attribution). Les chercheurs expliquent qu’une des faiblesses exploitées – certaines vulnérabilités ayant été trouvées indirectement – est la compression de message : il s’agit d’un encodage permettant de raccourcir les réponses-paquets des DNS pour limiter la redondance ou la surcharge visuelle. Une technique répercutée depuis au moins 20 ans sur la plupart des DNS mais aussi des routeurs de type IPv6 ; même pour les protocoles n’étant pas compatibles avec cette compression, ceux-ci l’intègrent, en finalité, dans les (ré)implémentations, entre-autres.

 

Dans les détails techniques, entre-autres, la vulnérabilité CVE-2020-15795 prend son sein depuis un défaut de limitation dans les octets dupliqués dans le nom de domaine : “le nom du tampon dans lequel un nom de domaine est copié est alloué dans le tas (ligne 19) avec l’appel de fonction NU_Allocate_Memory (). La taille du tampon de nom est limitée à 255 octets avec la constante DNS_MAX_NAME_SIZE (selon RFC1035) La longueur de l’étiquette de domaine dans la fonction DNS_Unpack_Domain_Name () (Figure 1) est limitée à 63 octets, en respectant la RFC1035. L’expression (taille & 0x3f) à la ligne 23 garantit que le code copie au plus 63 octets à l’intérieur du nom à la fois. Cependant, il n’y a pas de contrôle réel qui limite le nombre d’octets copiés dans le nom. De plus, le code de DNS_Unpack_Domain_Name () repose sur la présence d’un terminateur NULL dans un nom de domaine pour arrêter de copier plus d’octets (Figure 1, ligne 8). C’est une erreur car l’octet NULL peut être placé à n’importe quel décalage dans le nom (ou pas du tout placé)“. Au final, les paquets-réponses sont interceptés en appliquant une attaque par DNS cache-poisoning, une cyber-attaque permettant, comme l’indique son nom, d’intercepter un contenu ou la transaction-ID par empoisonnement du cache DNS. Un exemple est démontré via Sad DNS.

 

Les chercheurs estiment que l’impact est mondial : outre l’aspect universel des vulnérabilités (les objets ou solutions IoT, notamment), FreeBSD serait le plus impactant ; plus d’un million de terminaux ou appareils IoT seraient concernés dans le monde entier dont 201 818 pour les États-Unis, 103 653 pour le Japon ou encore 57 304 pour la France ; Allemagne (55 354) et Canada (47603) clôturant le classement synthétique. Une cyber-menace qui concerne, également, les objets connectés dans les nuages (services Cloud) intégrant ThreadX RTOS (44 % pour le marché de la vente au détail contre 17 % pour le secteur des soins et de la santé), Nucleus RTOS (43 %, dans ce cas, pour le secteur des soins et de la santé contre, à part égale, 17 % pour les secteurs gouvernementaux et des industriels) et FreeBSD (29 % pour le secteur de la vente au détail contre 21 % pour le divertissement-loisirs).

 

La valeur du pointeur de compression est souvent décochée dans le code des piles TCP / IP et, puisqu’il s’agit d’une valeur de 14 bits, il peut en théorie pointer vers 16383 (0x3fff) octets au-delà du début de l’en-tête DNS (ce qui le rend peu probable qu’il pointe vers un nom de domaine valide dans ce cas) En termes simples, si le paquet est plus court que cette valeur (considérez notre exemple sur la figure 9), le code peut lire hors des limites du paquet. Si le pointeur pointe sur lui-même (par exemple, nous définissons les deux octets pertinents sur 0xc01e afin que la compression pointe à nouveau vers 0xc0), nous pourrions amener le code d’analyse à entrer dans une boucle infinie. il doit y avoir des vérifications en place pour s’assurer qu’un décalage de compression dans un paquet entrant pointe «en arrière» dans le paquet et atterrit sur un nom de domaine non compressé valide. Lorsque de telles vérifications n’existent pas, il est possible de créer des valeurs de décalage auxquelles le décalage pointera «vers l’avant», permettant aux attaquants de «détourner» l’analyseur DNS vulnérable avec des pointeurs et des décalages de compression soigneusement conçus“, ajoutent les chercheurs.

Pour l’heure, si les piles (FreeBSD, Nucleus NET, IPnet et NetX) ont été patchées-corrigées, il reste, comme d’habitude, à ce que les revendeurs de solutions IoTs, notamment, appliquent ou proposent ces mises à jour en les adaptant à leur produit. D’ici là et pour l’heure, solutions et produits exploitant ces piles TCP / IP rendent vulnérables les DNS ; et leur utilisateurs qui possèdent les dispositifs. Il est notamment cités, dans le domaine professionnel, les organismes de soins et de santé ainsi que les secteurs Gouvernementaux… A veiller !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2