محققان امنیتی امروز 9 آسیب پذیری موثر بر اجرای پروتکل DNS را در پشته های ارتباطی شبکه محبوب TCP / IP که حداقل در 100 میلیون دستگاه در حال اجرا هستند ، منتشر کردند!
در کل در اجراع هایی با عنوان NAME: WRECK ، می توان از این آسیب پذیری ها استفاده کرد تا دیوایس های آسیب پذیر را به حالت offline درآورد یا دسترسی کامل به انها گرفت.
این آسیب پذیری ها در پشته های گسترده TCP / IP وجود دارد که روی طیف گسترده ای از محصولات از سرورها و تجهیزات شبکه با عملکرد بالا گرفته تا سیستم های فناوری عملیاتی (OT) که تجهیزات صنعتی را کنترل و کنترل می کنند ، اجرا می شوند.
کشف NAME: WRECK تلاش مشترک شرکت امنیتی Enterprise of Things Forescout و گروه تحقیقاتی امنیتی مستقر در اسرائیل JSOF است و اجرای DNS در پشته های TCP / IP زیر تأثیر می گذارد:
به گفته Forescout ، در سناریوهای فرضی اما قابل قبول ، مهاجمان می توانندبا exploit آسیب پذیری های NAME: WRECK ، خسارت قابل توجهی به سرورهای دولتی یا شرکتی ، مراکز بهداشتی ، خرده فروشان وارد کنند یا داده های حساس شرکت های فعال در صنعت تولید به سرقت ببرند.
مهاجمان همچنین می توانند عملکردهای حیاتی ساختمان را در مکان های مسکونی یا تجاری برای کنترل گرمایش و تهویه ، غیرفعال کردن سیستم های امنیتی یا دستکاری در سیستم های روشنایی خودکار ؛ دستکاری کنند.
محققان در حال تحلیل اجرای DNS در پشته های TCP / IP فوق الذکر ، ویژگی پروتکل [فشرده سازی پیام] را بررسی کردند.
غیر معمول نیست که پکت های پاسخ DNS بیش از یک بار یک نام دامنه یا بخشی از آن را در خود داشته باشند ، بنابراین یک مکانیسم فشرده سازی برای کاهش اندازه پیام های DNS وجود دارد. تنها resolver های DNS از این انکود بهره مند نمی شوند ، بلکه در advertisement روترهای IPv6 و DNS (mDNS) مولتی کست و سرویس گیرندگان DHCP وجود دارد.
امروز در گزارشی Forescout توضیح داد که این ویژگی در بسیاری ساز و کار ها ها نیز وجود دارد ،گرچه برخی از پروتکل ها به طور رسمی از فشرده سازی پشتیبانی نمی کنند.
لازم به ذکر است که از همه NAME: WRECK نمی توان این اکپسلویت را برای دستیابی به همان نتایج استفاده کرد. خطرناکترین حالت در آنها اجرای کد از راه دور است درجه 9.8 از 10 را دارد.
همانطور که در جدول بالا مشاهده می شود ، همه آسیب پذیری ها به فشرده سازی پیام مربوط نمی شوند. این استثناها نتایج جانبی تحقیق هستند و می توانند برای تقویت اثرات حمله با زنجیرهای دیگر مورد استفاده قرار گیرند.
استثنا دیگر CVE-2016-20009 است. این اشکال که ابتدا توسط Exodus Intelligence در سال 2016 کشف شد ، شماره پیگیری دریافت نکرد. اگرچه این محصول دیگر پشتیبانی نمی شود (پایان عمر) ، اما امروزه همچنان از آن استفاده می شود.
شرکت Forescout از Wind River خواست تا درخواست CVE بدهد اما این شرکت ماه ها هیچ اقدامی انجام نداد. به همین ترتیب ، این شرکت همان مورد را از Exodus Intelligence درخواست کرد و این نقص در ژانویه 2021 شناسه دریافت کرد.
به عنوان مثال ، آنها می توانند از یک نقص استفاده کنند تا بتوانند داده های دلخواه را در مکان های حافظه حساس یک دستگاه آسیب پذیر بنویسند ، دیگری برای تزریق کد در یک بسته و مورد سوم برای رساندن آن به تارگت.
گزارشی از Forescout به جزئیات فنی در مورد چگونگی اکسپلویت که منجر به حمله موفقیت آمیز RCE با استفاده از چندین آسیب پذیری NAME:WREC و همچنین اشکالات مجموعه AMNESIA: 33 ، که شرکت در پشته های اوپن سورس TCP/IP کشف کرده است ، اشاره میکند.
در حال حاضر فروشندگان دستگاه هستند که می توانند اصلاحاتی را روی محصولاتی که هنوز هم می توانند به روز شوند اعمال کنند. اگرچه بعید است که این روند 100٪ موفقیت داشته باشد ، زیرا موانع زیادی در این راه وجود دارد.
اول از همه ، اپراتورها باید پشته TCP / IP را که در دستگاه های آسیب دیده اجرا می شود ، پیدا کنند. این همیشه کار ساده ای نیست زیرا بعضی اوقات حتی فروشنده دستگاه سواد چندانی ندارد :)
برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.
همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!
Telegram.me/NovaSecurity
