Os pesquisadores do Google encontraram sete graves falhas de segurança no pacote de software de DNS de código aberto Dnsmasq. As falhas colocam uma grande quantidade de dispositivos em risco de ser pirateados.
Os pesquisadores do Google revelaram sete falhas graves em um pacote de software de DNS de código aberto, o Dnsmasq, que é geralmente pré-instalado em roteadores, servidores, smartphones, dispositivos IoT e sistemas operacionais, tais como as distribuições Linux Ubuntu e Debian. O mais grave das vulnerabilidades pode ser explorado remotamente para executar código malicioso e seqüestrar o dispositivo.
As vulnerabilidades divulgadas incluem três que podem levar à execução de código remoto, três que podem resultar em negação de serviço e um vazamento de informações. Uma pesquisa SHODAN atualmente mostra 1.096.599 instâncias em todo o mundo.
De acordo com a descrição fornecida pelo Dnsmasq :
O Dnsmasq fornece infra-estrutura de rede para pequenas redes: DNS, DHCP, propaganda de roteador e inicialização de rede. Ele é projetado para ser leve e ter uma pegada pequena, adequada para roteadores e firewalls com recursos restritos. Também foi amplamente utilizado para ligar em smartphones e hotspots portáteis e para suportar redes virtuais em frameworks de virtualização. As plataformas suportadas incluem Linux (com glibc e uclibc), Android, * BSD e Mac OS X. O Dnsmasq está incluído na maioria das distribuições Linux e nos sistemas de portas do FreeBSD, OpenBSD e NetBSD.
Ontem no Google Security Blog , os pesquisadores descobriram que descobriram as vulnerabilidades "ao longo de nossas avaliações de segurança interna regulares". Eles relataram as falhas no Simon Kelley, o responsável pelo projeto Dnsmasq, e trabalharam para criar remendos para mitigar as falhas.
Vulnerabilidades "pré-históricas" anteriormente não detectadas
De acordo com Kelley , "alguns desses, incluindo os mais sérios, estiveram em Dnsmasq desde os tempos pré-históricos e permaneceram indetectados através de várias auditorias de segurança anteriores". Os problemas foram resolvidos na nova versão estável do Dnsmasq 2.78 ; Kelley disse que a "atualização deve ser obrigatória".
O Google observou: "Os parceiros Android receberam esse patch também e serão incluídos na atualização de segurança mensal do Android para outubro. As versões Kubernetes 1.5.8, 1.6.11, 1.7.7 e 1.8.0 foram lançadas com um pod DNS corrigido. Outros serviços Google afetados foram atualizados. "
Lista de fornecedores do US-CERT foi afetada pelas falhas
Os pesquisadores forneceram código de prova de conceito para seis dos sete erros, para que as pessoas possam verificar se eles são afetados pelos problemas. Fornecedores e outros projetos usando o Dnsmasq devem aplicar os patches imediatamente. O US-CERT publicou um aviso de vulnerabilidade e compilou uma lista de 100 vendedores que podem ser afetados pelas falhas de segurança. Você deve ver essa lista porque possui um grande número de sistemas de sistema operacional, soluções de segurança, dispositivos IoT, computadores, smartphones e servidores de grande nome.
Como a Bleeping Computer apontou sobre o código de prova de conceito publicado, "Infelizmente, os atacantes podem facilmente armadilhar essas façanhas PoC para atacar dispositivos / redes vulneráveis".
As 7 falhas de segurança em Dnsmasq
As vulnerabilidades de segurança divulgadas pelo Google incluem:
CVE-2017-14491, CVE-2017-14492 e CVE-2017-14493 são falhas RCE. CVE-2017-14491 é uma falha baseada em DNS "que afeta as configurações de rede diretamente expostas e internas". O CVE-2017-14492 funciona através de um estouro baseado em heap contra o vetor DHCP. O Google chamou a CVE-2017-14493 de uma "vulnerabilidade de transbordamento de buffer baseada em DHCP baseada em DHCP trivial para explorar".
CVE-2017-14494 é um vazamento de informação no vetor DHCP. O Google observou que o RCE CVE-2017-14493 "em combinação com o CVE-2017-14494 atuando como um vazamento de informações", poderia permitir que um invasor "ignorasse o ASLR e ganhasse a execução de código remoto".
CVE-2017-14495, CVE-2017-14496 e CVE-2017-13704 são falhas de negação de serviço no vetor DNS. O Google adicionou: "O Android é afetado pelo CVE-2017-14496 quando o atacante é local ou vinculado diretamente ao dispositivo - o serviço em si é caixa de areia, então o risco é reduzido. Os parceiros do Android receberam patches em 5 de setembro de 2017 e os dispositivos com um nível de patch de segurança 2017-10-01 ou posterior abordam esse problema ".
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário