נחשפו חולשות DNS חדשות המשפיעות על מיליוני מכשירים בשימוש פרטי וארגוני
מאת:
מערכת Telecom News, 13.4.21, 10:37
נחשפה NAME:WRECK, סדרת 9 חולשות הקשורות למערכי TCP/IP נפוצים. החולשות קשורות ליישומי DNS ועלולות לגרום למתקפת מניעת שירות (DoS) או להפעלה מרחוק של קוד (RCE). בכך הן מאפשרות לתוקפים להשבית פעילות מכשירים או להשתלט עליהם. קהילת ה-IT ומפתחי מערכי TCP/IP צריכים לתקן בעיות ב-DNS.
מעבדות המחקר של פורסקאוט (
Forescout Research Labs), בשיתוף פעולה עם
JSOF Research, חשפו את
NAME:WRECK, סדרה של 9 חולשות הקשורות למערכי
TCP/IP נפוצים (
FreeBDS,
IPnet,
Nucleus NET ו-
NetX). החולשות הללו קשורות ליישומי
DNS (
Domain Name System), ועלולות לגרום למתקפת מניעת שירות (
DoS) או להפעלה מרחוק של קוד (
RCE). בכך הן מאפשרות לתוקפים להשבית פעילות של מכשירים או להשתלט עליהם.
השימוש הנפוץ במערכים האלה, והחשיפה החיצונית של יישומי
DNS פגיעים מובילים לגידול דרמטי במישור התקיפה. המחקר הנוכחי מספק עדות נוספות לכך, שקהילת ה-
IT צריכה לתקן בעיות ב-
DNS, שהן נפוצות הרבה יותר מכפי שיודעים כעת.
המחקר הנוכחי חושף חולשות במערכי תקשורת נפוצים:
- Nucleus NET הוא חלק מ-Nucleus RTOS ואתר האינטרנט שלו מציין, שיותר מ-3 מיליארד מכשירים משתמשים במערכת ההפעלה בזמן אמת, כולל מכשירי אולטרה סאונד, מערכות אחסון, מערכות חיוניות בתחום התעופה ועוד. סוגי המכשירים, שמריצים Nucleus RTOS באופן הנרחב ביותר, כוללים מערכות לאוטומציה של בניינים, טכנולוגיה תפעולית ו-VoIP.
- FreeBDS מוכר בעיקר בזכות השימוש בו בשרתים עתירי ביצועים במיליוני רשתות IT. הוא גם מהווה בסיס לפרויקטים מוכרים מאוד בקוד פתוח, כגון פיירוולים והתקני רשת מסחריים. סוגי המכשירים, שעושים את השימוש הנפוץ ביותר ב-FreeBSD, הם מחשבים, מדפסות וציוד רשת.
- NetX פועל בדרך כלל על גבי ThreadX RTOS. יישומים נפוצים שלו כוללים מכשור רפואי, מערכות על שבב וסוגים מסוימים של מדפסות. ההערכה היא, ש-ThreadX פעל על גבי 6.2 מיליארד מכשירים ב-2017, כשמכשירים ניידים, מכשירי אלקטרוניקה ביתיים ואוטומציה לעסקים מהווים את קטגוריות השימוש הנפוצות ביותר. המכשירים הנפוצים ביותר, שמריצים ThreadX, כוללים מדפסות, שעונים חכמים, וציוד אנרגיה במערכות בקרה תעשייתיות.
ארגונים במגזרי ממשל ושירותי הבריאות הם בעלי החשיפה הגדולה ביותר לכל המערכים. בהערכה שמרנית, 1% מכלל 10 מיליארד פריסות ויישומים, שאוזכרו לעיל, עלול להיות פגיע. מכאן ניתן להעריך לפחות 100 מיליון מכשירים עלולים להיפגע מ-
NAME:WRECK.
החברות קוראות למפתחי מערכי
TCP/IP, שעדיין לא נותחו, להוריד את ה-
anti-patterns הזמינים בדו"ח הטכני שלהן, לבדוק את הקוד והימצאות באגים ולתקנם. כדי לסייע בתהליך,
פורסם קוד פתוח, שפותח עבור כלי האנליזה הסטטי בשם
Joren. הקוד מסדיר את ה-
anti-patterns שזוהה, ומאפשר לחוקרים ולמפתחים לבצע ניתוח של מערכים נוספים לגבי הימצאות חולשות דומות.
זוהה, שחולשות רבות קיימות מכיוון שמסמכי
RFC אינם ברורים, מדויקים או שהם מורכבים מידי. כדי לסייע למנוע מבעיות כאלו להופיע בעתיד, הוגשה ל-
IETF טיוטת
RFC בה רשומים כל ה-
anti-patterns שזוהו, לרבות כיצד להימנע מהם במהלך הטמעה של
DNS client או בשרת.
המלצות לפעולה
הגנה מלאה כנגד
NAME:WRECK דורשת עדכון של מכשירים המריצים גרסאות פגיעות של מערכי
IP.
FreeBSD,
Nucleus NET ו-
NetX עודכנו לאחרונה, וספקי מכשירים המשתמשים בתוכנות אלה צריכים לספק עדכונים משלהם ללקוחות.
עם זאת, לא תמיד ניתן לעדכן מכשירים, והמאמץ הנדרש לשם עדכון משתנה באופן משמעותי אם מדובר בשרת
IT סטנדרטי או מכשיר
IoT. לאור האתגר בעדכון, מומלץ על אסטרטגיית הפחתת הסיכון הבאה:
- גילוי ובניית מצאי של כל המכשירים המריצים את המערכים הפגיעים. מעבדת המחקר של פורסקאוט פרסמה קוד פתוח המשתמש בטביעות אצבע פעילות כדי לזהות מכשירים המריצים מערכים פגיעים. הקוד מתעדכן כל הזמן עם חתימות חדשות בהתאם להתפתחויות האחרונות במחקר.
- אכיפה של בקרי סגמנטציה והפעלת הגיינת רשת מתאימה כדי למזער את הסיכון ממכשירים פגיעים. יש להגביל את אפיקי התקשורת החיצוניים ויש לבודד או להכיל מכשירים פגיעים באזורים מסוימים כאמצעי מגביל במקרה ולא ניתן לעדכנם, או עד שניתן יהיה לעשות זאת.
- ניטור אחר עדכונים מצד ספקים, שהושפעו מהחולשות. יש לבנות תוכנית תיקון עבור המכשירים הפגיעים שזוהו, תוך איזון בין הסיכון העסקי והדרישות להמשכיות עסקית.
- הגדרת מכשירים לשימוש בשרתי DNS פנימיים, ככל הניתן. יש לנטר תעבורת DNS חיצונית מאחר שניצול הפרצות מחייב, ששרת DNS זדוני יענה עם תקשורת של חבילות נתונים זדוניות.
- ניטור כל תעבורת הרשת אחר חבילות נתונים זדוניות המנסות לנצל פרצות ידועות או פרצות יום אפס לניצול הפעלות DNS, mDNS ו-DHCP. יש לחסום תעבורה אנומלית ולא שגרתית או לפחות לדווח למנהלי הרשת. כדי לנצל פרצות NAME:WRECK, תוקף צריך לאמץ תהליך דומה עבור כל מערך TCP/UP. המשמעות היא, שניתן להשתמש בטכניקת זיהוי זהה של NAME:WRECK גם במערכי TCP/IP נוספים ובמוצרים, שעדיין לא נותחו.
הדו"ח המלא - כאן.