פגיעויות ב-FreeBSD, IPnet ו-Nucleus NET הקשורות לשגיאות ביישום דחיסת DNS

קבוצות המחקר Forescout Research Labs ו-JSOF Research פרסמו תוצאות של מחקר משותף על אבטחת יישומים שונים של ערכת הדחיסה המשמשת לאריזת שמות כפולים בהודעות DNS, mDNS, DHCP ו-IPv6 RA (אריזה של חלקי דומיין כפולים בהודעות הכוללים מספר שמות). במהלך העבודה זוהו 9 נקודות תורפה המסוכמות תחת שם הקוד NAME:WRECK.

בעיות זוהו ב-FreeBSD, כמו גם בתתי-מערכות הרשת IPnet, Nucleus NET ו-NetX, שהפכו נפוצות במערכות ההפעלה בזמן אמת VxWorks, Nucleus ו-ThreadX המשמשות בהתקני אוטומציה, אחסון, מכשירים רפואיים, אוויוניקה, מדפסות ומוצרי אלקטרוניקה. ההערכה היא שלפחות 100 מיליון מכשירים מושפעים מהחולשות.

• פגיעות ב-FreeBSD (CVE-2020-7461) אפשרה לארגן את ביצוע הקוד שלו על ידי שליחת חבילת DHCP שתוכננה במיוחד לתוקפים הממוקמים באותה רשת מקומית כמו הקורבן, שעיבודה על ידי לקוח DHCP פגיע הוביל לגלישת חיץ. הבעיה הופחתה על ידי העובדה שתהליך ה-dhclient שבו הייתה קיימת הפגיעות פעל עם הרשאות איפוס בארגז חול של Capsicum, מה שדרש לזהות פגיעות נוספת כדי לצאת.

  מהות השגיאה היא בבדיקה שגויה של פרמטרים, בחבילה המוחזרת על ידי שרת DHCP עם אפשרות DHCP 119, המאפשרת להעביר את רשימת "חיפוש הדומיין" לפותר. חישוב שגוי של גודל המאגר הנדרש כדי להכיל שמות דומיינים לא ארוזים הוביל לכך שמידע נשלט על ידי תוקף נכתב מעבר למאגר שהוקצה. ב- FreeBSD, הבעיה תוקנה עוד בספטמבר בשנה שעברה. ניתן לנצל את הבעיה רק ​​אם יש לך גישה לרשת המקומית.

• פגיעות בערימת רשת ה-IPnet המשובצת המשמשת ב-RTOS VxWorks מאפשרת ביצוע קוד פוטנציאלי בצד לקוח ה-DNS עקב טיפול לא נכון בדחיסת הודעות DNS. כפי שהתברר, פגיעות זו זוהתה לראשונה על ידי אקסודוס בשנת 2016, אך מעולם לא תוקנה. גם בקשה חדשה לווינד ריבר לא נענתה ומכשירי IPnet נותרו פגיעים.
• שש נקודות תורפה זוהו בערימת Nucleus NET TCP/IP, הנתמכת על ידי סימנס, מתוכן שתיים עלולות להוביל לביצוע קוד מרחוק, וארבע עלולות להוביל למניעת שירות. הבעיה המסוכנת הראשונה קשורה לשגיאה בעת ביטול דחיסה של הודעות DNS דחוסות, והשנייה קשורה לניתוח שגוי של תוויות שמות דומיין. שתי הבעיות גורמות להצפת מאגר בעת עיבוד תגובות DNS בפורמט מיוחד.

  כדי לנצל נקודות תורפה, תוקף פשוט צריך לשלוח תגובה שתוכננה במיוחד לכל בקשה לגיטימית שנשלחת ממכשיר פגיע, למשל, על ידי ביצוע התקפת MTIM והפרעה לתעבורה בין שרת ה-DNS לקורבן. אם לתוקף יש גישה לרשת המקומית, אז הוא יכול להפעיל שרת DNS שמנסה לתקוף מכשירים בעייתיים על ידי שליחת בקשות mDNS במצב שידור.

• הפגיעות בערימת הרשת של NetX (Azure RTOS NetX), שפותחה עבור ThreadX RTOS ונפתחה ב-2019 לאחר שהשתלטה על ידי מיקרוסופט, הוגבלה למניעת שירות. הבעיה נגרמת משגיאה בניתוח הודעות DNS דחוסות ביישום הפותר.

מבין ערימות הרשת שנבדקו בהן לא נמצאו פגיעויות הקשורות לדחיסת נתונים חוזרים בהודעות DNS, הפרויקטים הבאים נקראו: lwIP, Nut/Net, Zephyr, uC/TCP-IP, uC/TCP-IP, FreeRTOS+TCP , OpenThread ו-FNET. יתרה מכך, השניים הראשונים (Nut/Net ו-lwIP) אינם תומכים כלל בדחיסה בהודעות DNS, בעוד שהאחרים מיישמים פעולה זו ללא שגיאות. בנוסף, יש לציין כי בעבר אותם חוקרים כבר זיהו פגיעויות דומות בערימות Treck, uIP ו-PicoTCP.

מקור: OpenNet.ru