Сегодня исследователи в области безопасности выявили девять уязвимостей, влияющих на реализации протокола системы доменных имен в популярных стеках сетевых коммуникаций TCP / IP, работающих как минимум на 100 миллионах устройств.

В совокупности именуемые NAME: WRECK, недостатки могут использоваться для отключения затронутых устройств или для получения контроля над ними.

Уязвимости были обнаружены в широко распространенных стеках TCP / IP, которые работают на широком спектре продуктов, от высокопроизводительных серверов и сетевого оборудования до систем операционных технологий (OT), которые отслеживают и контролируют промышленное оборудование.

Проблемы в четырех стеках TCP / IP

Открытие NAME: WRECK - результат совместных усилий компании Forescout, занимающейся безопасностью Enterprise of Things, и израильской исследовательской группы JSOF, которая влияет на реализации DNS в следующих стеках TCP / IP:

• FreeBSD (уязвимая версия: 12.1) - одна из самых популярных операционных систем в семействе BSD.
• IPnet (уязвимая версия: VxWorks 6.6) - изначально разработан Interpeak, сейчас находится на обслуживании WindRiver и используется операционной системой реального времени VxWorks (RTOS)
• NetX (уязвимая версия: 6.0.1) - часть ThreadX RTOS, теперь это проект с открытым исходным кодом, поддерживаемый Microsoft под названием Azure RTOS NetX.
• Nucleus NET (уязвимая версия: 4.3) - часть Nucleus RTOS, поддерживаемая Mentor Graphics, компанией Siemens, она используется в медицинских, промышленных, бытовых, аэрокосмических устройствах и устройствах Интернета вещей.

Согласно Forescout, в гипотетических, но вероятных сценариях злоумышленники могут использовать уязвимости NAME: WRECK для нанесения значительного ущерба правительственным или корпоративным серверам, медицинским учреждениям, розничным торговцам или компаниям в производственном бизнесе путем кражи конфиденциальных данных, модификации или отключения оборудования для саботажных целей.

Злоумышленники также могут вмешиваться в критически важные функции здания в жилых или коммерческих помещениях, чтобы управлять отоплением и вентиляцией, отключать системы безопасности или вмешиваться в автоматические системы освещения.

The NAME: WRECK уязвимости

Исследователи, анализирующие реализации DNS в вышеупомянутых стеках TCP / IP, рассмотрели функцию сжатия сообщений протокола.

Пакеты ответов DNS нередко включают одно и то же доменное имя или его часть более одного раза, поэтому существует механизм сжатия для уменьшения размера сообщений DNS.

Forescout объясняет в своем отчете, что эта функция также присутствует во многих реализациях, хотя некоторые протоколы официально не поддерживают сжатие. Это происходит «из-за повторного использования кода или особого понимания спецификаций».

Исследователи отмечают, что реализация механизма сжатия была сложной задачей, о чем свидетельствуют более десятка уязвимостей, обнаруженных с 2000 года.

Следует отметить, что не все NAME: WRECK можно использовать для достижения тех же результатов. Потенциальным воздействием наиболее серьезных из них является удаленное выполнение кода, при этом наивысшая оценка серьезности составляет 9,8 из 10.

Не все уязвимости связаны со сжатием сообщений. Эти исключения являются побочным продуктом исследования и могут быть связаны с другими для усиления эффекта атаки. Еще одно исключение - CVE-2016-20009. Первоначально  обнаруженное в 2016 году, ошибка не получила отслеживаемый номер. Хотя продукт больше не обслуживается (истек срок службы), он все еще используется сегодня.

Forescout попросил Wind River подать заявку на CVE, но компания не предпринимала никаких действий в течение нескольких месяцев. Таким образом, компания запросила то же самое у Exodus Intelligence, и недостаток получил идентификатор в январе 2021 года.

Злоумышленник, использующий одну ошибку, может достичь не многого, но потенциально может нанести ущерб, комбинируя их. Например, они могут использовать один недостаток, чтобы иметь возможность записывать произвольные данные в чувствительные области памяти уязвимого устройства, другой - для внедрения кода в пакет, а третий - для доставки его адресату.

В отчете Forescout подробно рассматриваются технические подробности того, как эксплуатация может привести к успешной атаке с удаленным выполнением кода за счет использования нескольких уязвимостей NAME: WRECK, а также ошибок из разряда AMNESIA: 33, которые компания обнаружила в TCP / протоколе с открытым исходным кодом.

Компания также обсуждает многочисленные проблемы реализации, которые продолжают повторяться в парсерах сообщений DNS, называемые антишаблонами, которые являются причиной уязвимостей NAME: WRECK:

- Отсутствие проверки TXID, недостаточно случайный TXID и исходный UDP-порт

- Отсутствие проверки символов доменного имени

- Отсутствие проверки длины метки и имени

- Отсутствие проверки завершения NULL

- Отсутствие проверки полей количества записей

- Отсутствие указателя сжатия доменного имени и проверки смещения

Патчи для NAME: WRECK доступны для  FreeBSD, Nucleus NET и  NetX, и устранение проблем возможно, если исправления попадут в затронутые продукты.

Таким образом, теперь производители устройств должны вносить исправления в продукты, которые все еще могут быть обновлены. Однако этот процесс вряд ли будет иметь 100% успех, поскольку на его пути есть несколько препятствий.

Прежде всего, операторы должны определить стек TCP / IP, работающий на затронутых устройствах. Это не всегда простая задача, потому что иногда даже производитель устройства этого не знает.

Еще одно препятствие - применение патча, который во многих случаях необходимо устанавливать вручную из-за отсутствия централизованного управления. Добавьте к этому критическое устройство, которое нельзя отключить для процедуры обновления, и станет ясно, почему установка исправлений практически невозможна.

«Хуже того, мы обнаружили, что новая прошивка иногда запускает неподдерживаемые версии ОСРВ, которые могут иметь известные уязвимости [например, CVE-2016-20009]. Это крайне беспокоит, поскольку предположение, что новая прошивка не уязвима, может привести к серьезным слепым пятнам при оценке сетевых рисков» - Forescout.

Однако существует информация о смягчении последствий, которую инженеры по безопасности могут использовать для разработки сигнатур, обнаруживающих уязвимости DNS:

- Обнаружение и инвентаризация устройств, на которых запущены уязвимые стеки

- Обеспечение контроля сегментации и надлежащая гигиена сети

- Мониторинг прогрессивных исправлений, выпущенных поставщиками затронутых устройств.

- Настройка устройства на внутренние DNS-серверы.

- Контроль сетевого трафика на предмет вредоносных пакетов

Кроме того, Forescout предоставляет два инструмента с открытым исходным кодом, которые могут помочь определить, работает ли на целевом сетевом устройстве определенный встроенный стек TCP / IP ( Project Memoria Detector ), и для  обнаружения проблем, подобных NAME: WRECK  (работает с  Joern ).