Уязвимости във FreeBSD, IPnet и Nucleus NET, свързани с грешки при прилагането на DNS компресия

Изследователските групи Forescout Research Labs и JSOF Research публикуваха резултатите от съвместно проучване на сигурността на различни реализации на схемата за компресиране, използвана за опаковане на дублиращи се имена в DNS, mDNS, DHCP и IPv6 RA съобщения (опаковане на дублирани части от домейн в съобщения които включват множество имена). По време на работата бяха идентифицирани 9 уязвимости, които са обобщени под кодовото име NAME:WRECK.

Бяха идентифицирани проблеми във FreeBSD, както и в мрежовите подсистеми IPnet, Nucleus NET и NetX, които станаха широко разпространени в операционните системи за реално време VxWorks, Nucleus и ThreadX, използвани в устройства за автоматизация, съхранение, медицински устройства, авионика, принтери и потребителска електроника. Смята се, че най-малко 100 милиона устройства са засегнати от уязвимостите.

• Уязвимост във FreeBSD (CVE-2020-7461) направи възможно организирането на изпълнението на неговия код чрез изпращане на специално проектиран DHCP пакет до нападатели, разположени в същата локална мрежа като жертвата, чиято обработка от уязвим DHCP клиент доведе до препълване на буфера. Проблемът беше смекчен от факта, че процесът dhclient, в който присъстваше уязвимостта, се изпълняваше с привилегии за нулиране в изолирана среда на Capsicum, което изискваше идентифициране на друга уязвимост, за да излезе.

  Същността на грешката е в неправилна проверка на параметрите в пакета, върнат от DHCP сървъра с DHCP опция 119, която ви позволява да прехвърлите списъка за „търсене на домейн“ към резолвера. Неправилното изчисляване на размера на буфера, необходим за настаняване на неопаковани имена на домейни, доведе до записване на контролирана от нападателя информация извън определения буфер. Във FreeBSD проблемът беше отстранен още през септември миналата година. Проблемът може да се използва само ако имате достъп до локалната мрежа.

• Уязвимост във вградения IPnet мрежов стек, използван в RTOS VxWorks, позволява потенциално изпълнение на код от страната на DNS клиента поради неправилно боравене с компресиране на DNS съобщения. Както се оказа, тази уязвимост беше идентифицирана за първи път от Exodus през 2016 г., но никога не беше коригирана. Нова заявка до Wind River също остана без отговор и IPnet устройствата остават уязвими.
• Бяха идентифицирани шест уязвимости в стека Nucleus NET TCP/IP, поддържан от Siemens, две от които можеха да доведат до отдалечено изпълнение на код, а четири можеха да доведат до отказ на услуга. Първият опасен проблем е свързан с грешка при декомпресиране на компресирани DNS съобщения, а вторият е свързан с неправилно анализиране на етикети за име на домейн. И двата проблема водят до препълване на буфера при обработка на специално форматирани DNS отговори.

  За да използва уязвимостите, атакуващият просто трябва да изпрати специално проектиран отговор на всяка законна заявка, изпратена от уязвимо устройство, например чрез провеждане на MTIM атака и намеса в трафика между DNS сървъра и жертвата. Ако нападателят има достъп до локалната мрежа, той може да стартира DNS сървър, който се опитва да атакува проблемни устройства, като изпраща mDNS заявки в режим на излъчване.

• Уязвимостта в мрежовия стек NetX (Azure RTOS NetX), разработена за ThreadX RTOS и открита през 2019 г., след като беше поета от Microsoft, беше ограничена до отказ на услуга. Проблемът е причинен от грешка при анализирането на компресирани DNS съобщения в изпълнението на резолвера.

От тестваните мрежови стекове, в които не бяха открити уязвимости, свързани с компресиране на повтарящи се данни в DNS съобщения, бяха посочени следните проекти: lwIP, Nut/Net, Zephyr, uC/TCP-IP, uC/TCP-IP, FreeRTOS+TCP , OpenThread и FNET. Освен това първите две (Nut/Net и lwIP) изобщо не поддържат компресия в DNS съобщения, докато другите изпълняват тази операция без грешки. Освен това се отбелязва, че по-рано същите изследователи вече са идентифицирали подобни уязвимости в стековете Treck, uIP и PicoTCP.

Източник: opennet.ru