DNS spoofing e poisoning: a rischio dispositivi di 200 produttori

Si torna a parlare di attacchi DNS spoofing e DNS poisoning, entrambi noti per avere come obiettivo quello di reindirizzare la vittima verso server Web che non sono quelli legittimi. Gli attacchi hanno luogo modificando la risposta che viene inviata a una richiesta di risoluzione di un nome a dominio oppure alterando il contenuto della cache DNS.

Era il 2008 quando il ricercatore Dan Kaminsky parlò di DNS poisoning e delle modalità con cui si poteva forzare un server DNS ad offrire risposte arbitrarie.
Da quel momento iniziò un impegno coordinato per risolvere alla base il problema.

L’informatica è però fatta di corsi e ricorsi: come già accaduto di recente, quando si parlò del possibile ritorno degli attacchi DNS poisoning, è adesso venuto a galla l’utilizzo di un’implementazione non sicura che espone una vasta schiera di dispositivi agli stessi rischi di attacco.

I ricercatori di Nozomi Networks hanno scoperto che una libreria C molto utilizzata e chiamata uClibc (compreso il suo “fork” uClibc-ng sviluppato dagli autori del progetto OpenWRT, firmware alternativo installabile su molti router e usato su tanti dispositivi di terze parti), contiene una grave vulnerabilità: un aggressore può sfruttarla per indirizzare il device ed eventualmente anche i client collegati a valle verso siti che non sono quelli legittimi.

Nozomi fa presente che la lacuna di sicurezza sarebbe presente nei dispositivi di circa 200 produttori tra cui anche Linksys, Netgear e Axis.
Particolarmente vulnerabili sono i prodotti per l’Internet delle Cose (IoT): se collegati direttamente alla rete l’attacco diventa molto semplice da porre in essere.

Lo sviluppatore della libreria in questione ha comunicato di non essere in grado di correggere la vulnerabilità quindi ad oggi non esiste una soluzione ufficiale per sanare la problematica.

Il bug di sicurezza, contraddistinto dall’identificativo CVE-2022-05-02, è stato scoperto a settembre 2021 e Nozomi si è attivata per informare ogni singolo produttore a gennaio 2022.
Attualmente tutti gli interessati stanno coordinando gli sforzi per giungere a una soluzione definitiva che possa essere poi condivisa. Nel frattempo Nozomi, vista la tipologia della problematica, si è astenuta dal pubblicare i dettagli tecnici.

Chi utilizza dispositivi IoT e router è quindi chiamato a verificare costantemente la disponibilità di versioni aggiornate del firmware tenendo presente che i dispositivi direttamente connessi con la WAN sono com’è ovvio quelli potenzialmente più facili da aggredire.