Les experts en sécurité informatique de Nozomi Networks viennent de découvrir une vulnérabilité critique baptisée CVE-2022-05-02 dans des bibliothèques de code tierces uClibc et son fork uClibc-ng. Celles-ci sont utilisées dans le langage de programmation C plébiscité par plus de 200 fournisseurs. Dont Netgear, Linksys, la distribution Linux, Axis et Gentoo. Cette faille de sécurité CVE-2022-05-02 permet à un pirate de voler les données des utilisateurs d'objets connectés et de routeurs IoT en empoisonnant les requêtes DNS. Et met en danger des millions de terminaux dans le monde
Plusieurs appareils et routeurs IoT dédiés à la domotique utilisant les logiciels open source basés sur uClibc et uClibc-ngversions sont victimes d'une importante faille de sécurité comme le rapporte les experts en sécurité de Nozomi Networks Labs.
D'après un rapport récemment publié sur leur blog, cette brèche de niveau critique provient des requêtes DNS utilisées pour traduire les noms de domaine en adresse IP. Et plus spécifiquement la prévisibilité du numéro de transaction attribué par les bibliothèques à une recherche.
Les chercheurs ont repéré la faille de sécurité CVE-2022-05-02dans uClibc lors d'un examen des traces des requêtes DNS effectuées par un objet connecté. Ils ont ainsi constaté de nombreuses particularités principalement dûes aux fonctions de consultation interne de la bibliothèque.
Suite à un examen plus poussé, les chercheurs ont découvert que l'identifiant de transaction de ces requêtes DNS étaient prévisibles. Ce qui pourrait conduire à l'empoisonnement DNS. Rapidement, Nozomi Networks a transmis l'information à la CISA et au centre de coordination CERT. Puis, ces derniers ont informé les différents fournisseurs d'appareils menacés.
Faille de sécurité CVE-2022-05-02 : les conséquences réelles ?
Selon les experts de Nozomi Networks, cette faille de sécurité CVE-2022-05-02 permet aux pirates informatiques aguerris de déployer un empoisonnement DNS sur les périphériques et routeurs vulnérables.
Dans les détails, l'attaquant pourra alors faire en sorte qu'un client DNS accepte une réponse falsifiée. Ceci en se faisant passer pour des sites de confiance grâce à des adresses IP frauduleuses et malveillantes. Ensuite, il va pouvoir accéder à distance à la connexion entre un appareil affecté et Internet.
Finalement, le hacker va pouvoir prendre le contrôle des informations échangées par l'utilisateur sur le réseau et compromettre entièrement les dispositifs en multipliant les attaques. Ceci se fait, grâce à l'acheminement des communications réseau vers un serveur sous son contrôle.
Pas encore de correctif disponible
À l'heure actuelle et malgré l'imminence de la situation, le développeur de uClibc n'a pas encore pu proposer des correctifs. Néanmoins, le responsable de la bibliothèque, la communauté et les fournisseurs entend travailler de concert pour la recherche d'une solution. Une fois un correctif disponible, les utilisateurs devront installer une mise à jour firmware pour éviter qu'un pirate ne prenne le contrôle de leurs appareils.
Dans tous les cas, cette vulnérabilité et l'absence de correctif démontrent un problème important des bibliothèques open source. Avec faille de sécurité CVE-2022-05-02 non corrigée, plus de 200 fournisseurs s'exposent au risque d'empoisonnement DNS et d'usurpation DNS.
- Partager l'article :
