Des chercheurs ont trouvé neuf failles dans les modules DNS de quatre systèmes d’exploitation largement répandus sur la planète.
Les chercheurs en sécurité de Forescout ont publié un troisième volet intitulé « NAME :WRECK » de leur projet de recherche « Memoria », qui se focalise sur les implémentations de la pile protocolaire TCP/IP. Au menu, cette fois-ci, neuf failles trouvées dans les modules DNS de quatre systèmes d’exploitation : VxWorks, Azure RTOS, FreeBSD et Nucleus RTOS.
Les trois derniers sont certainement les plus répandus. FreeBSD est installé sur des serveurs haute performance « dans des millions de réseaux IT », dont Yahoo et Netflix. Créé par Siemens, Nucleus RTOS est utilisé « depuis des dizaines d’années dans des appareils industriels et des objets connectés » et compte plus de trois milliards de déploiements. Et Azure RTOS — anciennement ThreadX RTOS — se trouve dans plus de 6 milliards de « systèmes sur puce, appareils médicaux et imprimantes ».
« Si 1 % environ des plus de 10 milliards de déploiements sont vulnérables, ce qui est une hypothèse raisonnable, on peut estimer qu’au moins 100 millions d’appareils sont affectés par NAME:WRECK », soulignent les chercheurs dans leur étude.
En fonction de la situation, ces failles permettent de créer des dénis de service ou d’exécuter du code arbitraire à distance. Évidemment, la surface d’attaque augmente « de façon dramatique » si les clients DNS vulnérables sont exposés sur Internet. Les implémentations vulnérables dans Azure RTOS, Free BSD et Nucleus RTOS ont été corrigées depuis. Mais la mise à jour n’est pas forcément possible, en raison du manque de réactivité d’un constructeur et d’une configuration particulière. Forescout recommande alors de limiter l’exposition des appareils vulnérables par le biais d’une segmentation du réseau.
Ces failles trouvées résultent généralement d’une interprétation erronée des standards RFC. « Le DNS est un protocole complexe où les implémentations vulnérables sont fréquentes et ces vulnérabilités peuvent souvent être exploitées par des attaquants externes pour prendre le contrôle de millions d’appareils simultanément », soulignent les chercheurs. Sur les neuf failles trouvées, cinq sont ainsi liées à une mauvaise implémentation de RFC 1035, qui spécifie une méthode de compression des messages DNS.
source : 01net