Wie die NAME:WRECK Bugs Verbraucher und Unternehmen beeinflussen

Cyber Security News

Wie sich diese Klasse von Sicherheitslücken auf Millionen von angeschlossenen Geräten auswirkt und möglicherweise den Tag von IT-Sicherheitsexperten ruiniert.

Forscher schätzen, dass mehr als 100 Millionen mit dem Internet verbundene Geräte für eine Klasse von Schwachstellen mit dem Namen NAME:WRECK anfällig sind.

Geräte von Smartphones über Flugzeugnavigationssysteme bis hin zu industriellen Internet-of-Things (IIoT)-Endpunkten sind laut einem gemeinsamen Bericht von Forescout Research Labs und JSOF Research Labs anfällig für Denial-of-Service (DoS)- oder Remote-Code-Execution (RCE)-Angriffe. Für einige betroffene Hersteller sind Patches verfügbar.

Neun Schwachstellen wurden in der Implementierung des Domain Name System (DNS)-Protokolls identifiziert, das von TCP/IP-Netzwerkkommunikationsstacks verwendet wird. Diese beiden Technologien werden zusammen verwendet, um Geräte, die mit dem Internet verbunden sind, eindeutig zu identifizieren und die digitale Kommunikation zwischen ihnen zu ermöglichen. Die schwerwiegendsten Schwachstellen werden als kritisch eingestuft.
“Der weit verbreitete Einsatz und die oft externe Exposition von verwundbaren DNS-Clients führt zu einer dramatisch erhöhten Angriffsfläche”, schreiben die Forscher in einem am Dienstag veröffentlichten Bericht (PDF). “[W]e können schätzen, dass mindestens 100 Millionen Geräte von NAME:WRECK betroffen sind.”

Aufschlüsselung der NAME:WRECK-Fehler

Unter der Schirmherrschaft des als Project Memoria bekannten Forschungskollektivs ist NAME:WRECK die fünfte Reihe von Schwachstellen, die TCP/IP-Bibliotheken betreffen und in den letzten drei Jahren aufgedeckt wurden. Die vorangegangenen waren URGENT/11, Ripple20, Amnesia:33 und NUMBER:JACK (ebenfalls von Project Memoria und Forescout entdeckt).

Die Forscher von Forescout und JSOF unterteilen die neun NAME:WRECK-Schwachstellen in vier Unterkategorien von Geräten, abhängig von den darin verwendeten DNS- und TCP/IP-Stacks (oder Firmware). Zu den Kategorien gehören FreeBSD, IPnet, Nucleus NET und NetX – jeweils verbreitet in IoT- und Operational Technology (OT)-Systemen.

Die Forscher sagten, der Ursprung des Namens NAME:WRECK basiere darauf, “wie das Parsen von Domain-Namen DNS-Implementierungen in TCP/IP-Stacks kaputt machen – ‘wreck’ – kann, was zu Denial-of-Service oder Remote-Code-Execution führt.”

NAME:WRECK ähnelt früheren TCP/IP-DNS-Fehlern, die die Komplexität des DNS-Protokolls veranschaulichen, “die dazu neigt, anfällige Implementierungen hervorzubringen”, bei denen Fehler oft von externen Angreifern ausgenutzt werden können, um die Kontrolle über Millionen von Geräten gleichzeitig zu übernehmen, so die Forscher.

Auspacken eines DNS-Kompressionsbugs

Eine Klasse von NAME:WRECK-Fehlern wird als DNS-Kompressionsprobleme identifiziert, die sich auf eine Vielzahl von Geräten auswirken, die Daten komprimieren, die zur Kommunikation über das Internet mittels TCP/IP verwendet werden.

“Bei der ersten Schwachstelle, CVE-2020-27009, kann der Angreifer ein DNS-Antwortpaket mit einer Kombination ungültiger Kompressionszeiger-Offsets basteln, die es ihm erlauben, beliebige Daten in sensible Teile des Speichers eines Geräts zu schreiben, wo er dann den Code injiziert”, schreiben die Forscher.

“Die zweite Schwachstelle, CVE2020-15795, erlaubt es dem Angreifer, sinnvollen Code zu schreiben, der dann injiziert wird, indem er sehr große Domain-Namen-Einträge im bösartigen Paket missbraucht. Um das bösartige Paket schließlich an das Ziel zu übermitteln, kann der Angreifer den DNS-Abfrage-Antwort-Abgleich mit CVE-2021-25667 umgehen”, schreiben sie.

Die technischen Details sind kompliziert, laufen aber darauf hinaus, wie ein Domain-Name (wie Google.com) innerhalb des TCP/IP-Stacks als eine Sequenz von Bezeichnungen kodiert wird, “die durch das NULL-Byte (0x00) abgeschlossen wird”. Dieser Prozess der Kodierung und Komprimierung von Domain-Namen soll die Größe der DNS-Nachrichten reduzieren. Hacker könnten jedoch Schwachstellen im TCP/IP-Stack ausnutzen, um das Entpacken von komprimierten Domain-Namen auf böswillige Weise zu erzwingen, wodurch die Geräte, auf denen der TCP/IP-Stack läuft, angegriffen werden können.

“Durch die sorgfältige Auswahl einer Kombination von ungültigen Komprimierungs-Offsets, die in einem DNS-Paket platziert werden, können Angreifer kontrollierte Out-of-Bounds-Schreibvorgänge in den Zielpuffer ‘dst’ durchführen und so möglicherweise eine Remote-Code-Ausführung erreichen”, schreiben die Forscher.

Was den Angriffsvektor betrifft, so sagten die Forscher: “Der einfachste Weg, eine Nutzlast zu konstruieren, die den Namen überlaufen lässt und die Heap-Metadaten überschreibt, ist die Verkettung mehrerer Domain-Labels.”

Die Forscher identifizierten auch andere Arten von NAME:WRECK-Fehlern, wie z. B. Fehler beim Parsen von Domain-Namen-Labels, Schwachstellen bei der Nachrichtenkomprimierung und einen Fehler beim Parsen von VDomain-Namen-Labels.

Die neun NAME:WRECK-Fehler

Im Folgenden finden Sie die CVE-Nummern der Sicherheitslücken und die Art der betroffenen TCP/IP-Stacks: CVE-2020-7461: Ein Fehler in der Nachrichtenkomprimierung, der sich auf Geräte mit FreeBSD auswirkt und zu RCE führen kann (CVSS-Schweregrad 7.7); CVE-2016-20009: Ein Fehler in der Nachrichtenkomprimierung, der sich auf Geräte mit IPnet auswirkt und zu einem RCE führen kann (CVSS-Schweregrad 9,8); CVE-2020-15795: Ein Fehler beim Parsen von Domain-Namen, der sich auf Geräte mit Nucleus NET auswirkt und zu einem RCE führen kann (CVSS-Schweregrad 8.1); CVE-2020-27009: Ein Fehler in der Nachrichtenkomprimierung, der sich auf Geräte mit Nucleus NET auswirkt und zu einem RCE führen kann (CVSS-Schweregrad 8.1); CVE-2020-27736: Ein VDomain-Namen-Label-Parsing-Fehler, der sich auf Geräte mit Nucleus NET auswirkt und zu DoS führen kann (CVSS-Schweregrad 6.5); CVE-2020-27737: Ein VDomain-Namen-Label-Parsing-Fehler, der sich auf Geräte mit Nucleus NET auswirkt und zu DoS führen kann (CVSS-Schweregrad 6,5); CVE-2020-27738: Ein Fehler bei der Nachrichtenkomprimierung, der sich auf Geräte mit Nucleus NET auswirkt und zu DoS führen kann (CVSS-Schweregrad 6,5); CVE-2021-25677: Ein Transaktions-ID-Fehler, der sich auf Geräte mit Nucleus NET auswirkt und zu DNS-Cache-Poisoning-Angriffen führen kann (CVSS-Schweregrad 5,3); Und ein CVE-unassigned: Ein Fehler in der Nachrichtenkomprimierung, der sich auf Geräte mit NetX auswirkt und zu DNS-Cache-Poisoning-Angriffen führen kann (CVSS-Schweregrad 6,5).

Wie können Benutzer die NAME:WRECK-Fehler abschwächen?

Die Forscher empfehlen Anwendern und IT-Sicherheitspersonal, Geräte mit den verwundbaren Stacks zu entdecken und zu inventarisieren. Forescout stellt ein Open-Source-Skript zur Verfügung, um Fingerabdrücke der betroffenen Geräte zu erstellen.

Die Forscher empfehlen außerdem die Implementierung von Kontrollen zur Geräte- und Netzwerksegmentierung sowie die Einschränkung der externen Kommunikation mit anfälligen Geräten, bis diese gepatcht oder aus dem Netzwerk entfernt wurden.

Darüber hinaus sollten Benutzer anfällige Geräte so konfigurieren, dass sie auf internen DNS-Servern laufen, und den Netzwerkverkehr auf bösartige Pakete überwachen, die versuchen, NAME:WRECK-Schwachstellen oder andere Fehler auszunutzen, die DNS-, mDNS- und DHCP-Clients betreffen.

Haben Sie sich jemals gefragt, was in Untergrund-Cybercrime-Foren vor sich geht? Finden Sie es am 21. April um 14 Uhr ET bei einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com