Redactie - 09 mei 2022

Bug maakt miljoenen IoT-apparaten kwetsbaar

Bug maakt miljoenen IoT-apparaten kwetsbaar image

Een fout in een onderdeel in veel IoT-producten maakt dat hun DNS-verzoeken voorspelbaar en dus te misbruiken zijn. Het probleem wordt nu openbaar gemaakt om sneller een oplossing te vinden.

Het gaat om de uClibc en uClibc-ng library, een populair onderdeel van de C standard library. Dat klinkt mogelijk niet al te bekend, maar het gaat om een component dat in zeer veel met internet verbonden toestellen zit. Van uClibc dateert de laatste versie van 2012. uClibc-ng krijgt wel nog regelmatig nieuwe versies, de laatste dateert hier van 24 januari 2022.

Geen patch beschikbaar

Welke toestellen exact kwetsbaar zijn, maakt ontdekker Nozomi Networks niet bekend omdat er nog geen patch is. Maar het bedrijf spreekt van meer dan tweehonderd toestelmakers en miljoenen toestellen, waaronder enkele zeer bekende toestellen die te misbruiken zijn.

Concreet gaat het om de DNS-implementatie waar bij DNS-verzoeken van het toestel de transactie-ID voorspelbaar is. Daardoor valt ze te misbruiken en kan het toestel naar een ander domein worden gestuurd dan het bedoelde domein. Wie er in slaagt een mens of machine naar een malafide website te sturen om daar acties uit te voeren, is zo kwetsbaar voor allerlei aanvallen en/of het stelen van gegevens.

Al maanden geleden gemeld

Het probleem werd in september 2021 al ontdekt door Nozomi Networks, het werd in de maanden nadien gerapporteerd bij verschillende instanties, in september onder meer bij het ICS-CERT, in december onder meer aan het Amerikaanse CERT, en in januari bij meer dan tweehonderd betrokken toestelmakers. Maar een oplossing is er nog niet.

In overleg met een aantal van die organisaties wordt de bug nu deels publiek gemaakt in de hoop dat zo de community meewerkt aan een oplossing voor de bug die in afwachting de code CVE-2022-05-02 of ICS-VU-638779, VU#473698 meekreeg.

In samenwerking met Data News

Algosec 14/11/2024 t/m 28/11/2024 BW Lenovo Channel Campagne vierkant
Axians 12/11/2024 t/m 26/11/2024 BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!