Uclibc: Alte DNS-Lücke betrifft viele IoT-Geräte

Eine in Embedded-Geräten eingesetzte Bibliothek ist von Kaminskys DNS-Angriff betroffen, doch die Auswirkungen dürften sich in Grenzen halten.

Artikel veröffentlicht am ,
Das Logo der Bibliothek Uclibc-ng, die von einer Sicherheitslücke im DNS-Stack betroffen ist
Das Logo der Bibliothek Uclibc-ng, die von einer Sicherheitslücke im DNS-Stack betroffen ist (Bild: Uclibc-ng)

Die IT-Sicherheitsfirma Nozomi Networks meldet, dass sie in der Bibliothek Uclibc eine Sicherheitslücke im DNS-Stack gefunden hat. Dabei handelt es sich um eine Schwachstelle, die ursprünglich vom inzwischen verstorbenen IT-Sicherheitsforscher Dan Kaminsky im Jahr 2008 entdeckt worden war. Doch die Situation heute ist mit 2008 nicht direkt vergleichbar, da inzwischen fast alle Internetverbindungen mit TLS zusätzlich abgesichert sind.

Stellenmarkt
  1. Software Architekt Google Cloud Platform (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Berlin, Frankfurt, Zwickau
  2. Mitarbeiter IT (m/w/d)
    Duo Collection Import Vertriebsgesellschaft mbH, Bad Zwischenahn
Detailsuche

Bei DNS-Verbindungen wird üblicherweise das UDP-Protokoll genutzt. Die Eigenschaften von UDP ermöglichen es, dass ein Angreifer eine Antwort auf eine DNS-Anfrage schicken kann, ohne dass der Empfänger merkt, dass die Antwort von der legitimen Absender-IP stammte. Somit kann ein Angreifer eine falsche DNS-Antwort generieren. Damit ein solcher Angriff funktioniert, muss der Angreifer eine Transaktions-ID erraten.

Seit der Entdeckung von Kaminsky ist es daher üblich, dass diese Transaktions-ID zufällig gewählt wird. Sie ist 16 Bit lang. Da ein Angreifer zusätzlich den Port einer Verbindung erraten müsste, der ebenfalls in modernen Systemen zufällig gewählt wird, ist ein Angriff kaum noch praktikabel.

Uclibc und Uclibc-ng haben Randomisierung bei DNS-Anfragen nicht implementiert

Wie Nozomi nun herausgefunden hat, nutzt die Uclibc-Bibliothek keine zufälligen Transaktions-IDs, sie werden vielmehr einfach hochgezählt. Sprich: Die Gegenmaßnahme, die 2008 fast alle gängigen DNS-Implementierungen umgesetzt haben, fehlt bei Uclibc.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Uclibc ist eine Implementierung der C-Standardbibliothek, die häufig in Embedded-Geräten genutzt wird. Die originale Uclibc-Bibliothek wird allerdings schon länger nicht mehr weiterentwickelt, das letzte Release stammt aus dem Jahr 2012. Ein Fork mit dem Namen Uclibc-ng wird allerdings weiterhin aktiv entwickelt. Sowohl die originale Uclibc-Bibliothek als auch der Fork sind von der Lücke betroffen, ein Update gibt es in beiden Fällen bisher nicht. Da es keinen Fix gibt, hat Nozomi sich entschieden, keine Liste der betroffenen Geräte zu veröffentlichen.

Die Auswirkungen der Lücke sind im Vergleich zu 2008 als eher gering einzuschätzen. Während 2008 Klartext-Verbindungen im Internet noch gängig waren, sind heute die allermeisten Internetverbindungen über TLS abgesichert. Sprich: Ein Angreifer könnte zwar eine falsche DNS-Antwort erzeugen, spätestens bei der Prüfung des TLS-Zertifikats wäre aber in den meisten Fällen Schluss.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


GeeGee 05. Mai 2022 / Themenstart

Die Quellenangaben der Veröffentlichung von Nozomi Networks fehlt. Bitte ergänzen https...

schnedan 04. Mai 2022 / Themenstart

hier eine kleine Library um auf kleinen Controlern was überhaupt lauffähig zu kommen, wo...

Kommentieren



Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Ubisoft Blue Byte: Entwicklung von Die Siedler geht weiter
    Ubisoft Blue Byte
    Entwicklung von Die Siedler geht weiter

    Trotz harscher Kritik an einer Vorabversion geben die Entwickler nicht auf: Nun soll Die Siedler zusammen mit der Community entstehen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /