Uclibc: Alte DNS-Lücke betrifft viele IoT-Geräte

Eine in Embedded-Geräten eingesetzte Bibliothek ist von Kaminskys DNS-Angriff betroffen, doch die Auswirkungen dürften sich in Grenzen halten.

Artikel veröffentlicht am ,
Das Logo der Bibliothek Uclibc-ng, die von einer Sicherheitslücke im DNS-Stack betroffen ist
Das Logo der Bibliothek Uclibc-ng, die von einer Sicherheitslücke im DNS-Stack betroffen ist (Bild: Uclibc-ng)

Die IT-Sicherheitsfirma Nozomi Networks meldet, dass sie in der Bibliothek Uclibc eine Sicherheitslücke im DNS-Stack gefunden hat. Dabei handelt es sich um eine Schwachstelle, die ursprünglich vom inzwischen verstorbenen IT-Sicherheitsforscher Dan Kaminsky im Jahr 2008 entdeckt worden war. Doch die Situation heute ist mit 2008 nicht direkt vergleichbar, da inzwischen fast alle Internetverbindungen mit TLS zusätzlich abgesichert sind.

Stellenmarkt
  1. R&D Software Engineer C++ (m/f/d)
    Hays AG, Sindelfingen
  2. Unix-Systemadministrator*in (m/w/d)
    IPB Internet Provider in Berlin GmbH, Berlin
Detailsuche

Bei DNS-Verbindungen wird üblicherweise das UDP-Protokoll genutzt. Die Eigenschaften von UDP ermöglichen es, dass ein Angreifer eine Antwort auf eine DNS-Anfrage schicken kann, ohne dass der Empfänger merkt, dass die Antwort von der legitimen Absender-IP stammte. Somit kann ein Angreifer eine falsche DNS-Antwort generieren. Damit ein solcher Angriff funktioniert, muss der Angreifer eine Transaktions-ID erraten.

Seit der Entdeckung von Kaminsky ist es daher üblich, dass diese Transaktions-ID zufällig gewählt wird. Sie ist 16 Bit lang. Da ein Angreifer zusätzlich den Port einer Verbindung erraten müsste, der ebenfalls in modernen Systemen zufällig gewählt wird, ist ein Angriff kaum noch praktikabel.

Uclibc und Uclibc-ng haben Randomisierung bei DNS-Anfragen nicht implementiert

Wie Nozomi nun herausgefunden hat, nutzt die Uclibc-Bibliothek keine zufälligen Transaktions-IDs, sie werden vielmehr einfach hochgezählt. Sprich: Die Gegenmaßnahme, die 2008 fast alle gängigen DNS-Implementierungen umgesetzt haben, fehlt bei Uclibc.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    23.-25.05.2022, Virtuell
Weitere IT-Trainings

Uclibc ist eine Implementierung der C-Standardbibliothek, die häufig in Embedded-Geräten genutzt wird. Die originale Uclibc-Bibliothek wird allerdings schon länger nicht mehr weiterentwickelt, das letzte Release stammt aus dem Jahr 2012. Ein Fork mit dem Namen Uclibc-ng wird allerdings weiterhin aktiv entwickelt. Sowohl die originale Uclibc-Bibliothek als auch der Fork sind von der Lücke betroffen, ein Update gibt es in beiden Fällen bisher nicht. Da es keinen Fix gibt, hat Nozomi sich entschieden, keine Liste der betroffenen Geräte zu veröffentlichen.

Die Auswirkungen der Lücke sind im Vergleich zu 2008 als eher gering einzuschätzen. Während 2008 Klartext-Verbindungen im Internet noch gängig waren, sind heute die allermeisten Internetverbindungen über TLS abgesichert. Sprich: Ein Angreifer könnte zwar eine falsche DNS-Antwort erzeugen, spätestens bei der Prüfung des TLS-Zertifikats wäre aber in den meisten Fällen Schluss.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


GeeGee 05. Mai 2022 / Themenstart

Die Quellenangaben der Veröffentlichung von Nozomi Networks fehlt. Bitte ergänzen https...

schnedan 04. Mai 2022 / Themenstart

hier eine kleine Library um auf kleinen Controlern was überhaupt lauffähig zu kommen, wo...

Kommentieren



Aktuell auf der Startseite von Golem.de
Ebay-Kleinanzeigen
Im Chat mit den Phishing-Betrügern

Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
Ein Bericht von Friedhelm Greis

Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
Artikel
  1. Straftatbestand: Wenn Sexting zur Kinderpornografie wird
    Straftatbestand
    Wenn Sexting zur Kinderpornografie wird

    Der Straftatbestand Kinderpornografie umfasst auch Sexting unter Jugendlichen und betrifft ganze Schülerchats. Offenbar wissen viele gar nicht, wann sie strafbar handeln.

  2. Spyware-Vorwurf: Google entfernt Fairemail aus dem Play Store
    Spyware-Vorwurf
    Google entfernt Fairemail aus dem Play Store

    Google hat die App Fairemail aus dem Play Store entfernt, weil sie angeblich Spyware sei. Der Entwickler beendet das Open-Source-Projekt.

  3. Spotify for Work: Unternehmen können Mitarbeitern Spotify-Abo schenken
    Spotify for Work
    Unternehmen können Mitarbeitern Spotify-Abo schenken

    Für Unternehmen bietet Spotify die Möglichkeit, die gesamte Belegschaft mit einem kostenlosen Spotify-Premium-Abo zu versorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /