未修补的DNS相关漏洞影响范围广泛的物联网设备

网络安全研究人员披露了一个未修补的安全漏洞，该漏洞可能对物联网产品构成严重风险。

该问题最初于2021 9月报告，影响了两个流行的C库uClibc和uClibc ng的域名系统（DNS）实现，这两个库用于开发嵌入式Linux系统。

众所周知，Linksys、Netgear和Axis等主要供应商以及Embedded Gentoo等Linux发行版都在使用uClibc，这可能会使数百万物联网安全设备面临安全威胁。

Nozomi Networks的Giannis Tsaraias和Andrea Palanca在周一的一篇文章中表示：“该漏洞是由库生成的DNS请求中包含的事务ID的可预测性造成的，这可能允许攻击者对目标设备进行DNS中毒攻击。”。

DNS中毒，也称为DNS欺骗，是一种破坏DNS解析程序缓存的技术—；它为客户端提供与域名关联的IP地址—；目的是将用户重定向到恶意网站。

uClibc和uClibc ng中的漏洞是由于为每个DNS查找分配了可预测的事务ID及其对源端口53的静态使用，从而有效地破坏了源端口随机化保护。

成功利用该漏洞可使对手实施中间人（MitM）攻击并损坏DNS缓存，从而有效地将internet流量重新路由到其控制的服务器。

Nozomi Networks警告说，如果将操作系统配置为使用固定或可预测的源端口，则可能以可靠的方式轻易利用该漏洞。

研究人员说：“然后，攻击者可以窃取和/或操纵用户传输的信息，并对这些设备进行其他攻击，以完全破坏它们。”。