Miljoenen IoT-apparaten kwetsbaar door lekken in gebruikte TCP/IP-stack

[Captain Kirk]

Miljoenen Internet of Things-apparaten en industriële systemen zijn kwetsbaar voor aanvallen door beveiligingslekken in de gebruikte TCP/IP-stack, zo meldt securitybedrijf Forescout op basis van eigen onderzoek. Voor het onderzoek werd ernaar de veiligheid van verschillende TCP/IP-stacks gekeken. Dit is software die basale netwerkcommunicatie voor alle IP-verbonden apparaten implementeert. Het onderzoek richtte zich specifiek op de dns (domain name system)-clients van verschillende TCP/IP-stacks en hoe die met dns-verkeer omgaan.

Volgens de onderzoekers is dns een complex protocol en kan een verkeerde implementatie ervan allerlei kwetsbaarheden opleveren waar aanvallers misbruik van kunnen maken. Zo biedt het dns-protocol een feature genaamd "message compression" waarmee dns-berichten worden gecomprimeerd. Dns response packets bevatten vaak dezelfde domeinnaam of een deel daarvan. Via message compression kan het herhaaldelijk gebruik van dezelfde naam worden voorkomen waardoor het dns-bericht kleiner wordt.

De onderzoekers ontdekten dat de TCP/IP-stacks van FreeBSD, Nucleus NET, NetX en IPNet dns message compression niet goed implementeren, wat tot kwetsbaarheden leidt. In totaal gaat het om negen beveiligingslekken die de naam NAME:WRECK hebben gekregen en tot remote code execution, denial of service of dns-cache poisoning kunnen leiden. FreeBSD, Nucleus NET en NetX hebben updates uitgebracht. Het is echter de vraag of die uiteindelijk bij alle kwetsbare IoT-apparaten terechtkomen. Zo moet de leverancier van de apparatuur updates beschikbaar stellen en moeten beheerders die vaak handmatig installeren.

In een rapport over de kwetsbaarheden beschrijven de onderzoekers een aanvalsscenario waarbij een aanvaller eerst toegang tot het netwerk van een organisatie moet zien te krijgen. Vervolgens zou de aanvaller een interne, malafide DHCP-server moeten opzetten om zo andere apparaten in het netwerk aan te vallen.

Om zich tegen eventuele aanvallen te beschermen krijgen organisaties het advies om apparaten met kwetsbare TCP/IP-stacks in kaart te brengen, netwerksegmentatie toe te passen, apparaten zo in te stellen dat alleen interne dns-servers worden gebruikt, beschikbare updates meteen te installeren en het netwerkverkeer op malafide packets te monitoren.

 

bron: https://www.security.nl