Une faille dans un composant de nombreux produits IoT fait en sorte que leurs requêtes DNS sont prévisibles et donc exploitables. Le problème est à présent rendu public, afin de trouver plus rapidement une solution.
Il s’agit en l’occurrence des bibliothèques uClibc et uClibc-ng, un élément populaire de la bibliothèque standard du C. Il est possible que cela ne vous dise rien de prime abord, mais sachez dans ce cas qu’il est ici question d’un composant intégré à de très nombreux appareils connectés à internet. La dernière version d’uClibc date de 2012. Pour sa part, uClibc-ng reçoit encore régulièrement de nouvelles versions, la dernière datant de janvier 2022.
Le découvreur du bug, Nozomi Networks, n’a pas encore précisé quels appareils s’avéraient vulnérables, parce qu’il n’existe pas encore de correctif. Mais il évoque quand même plus de deux cents fabricants et des millions d’appareils, dont quelques types très connus, susceptibles d’être abusés.
Concrètement, il est question de l’implémentation DNS où l’ID de transaction est prévisible pour les requêtes DNS de l’appareil. Il peut en résulter des abus, et l’appareil peut être transféré vers un autre domaine que celui prévu. Quiconque parvient à transférer une personne ou une machine vers un site web mal intentionné, en vue d’y effectuer des actions, est ainsi vulnérable à toutes sortes d’attaques et/ou au vol de données.
Le problème a été découvert en septembre 2021 déjà par Nozomi Networks. Il fut dans les mois qui suivirent transmis à différentes instances, notamment à l’ICS-CERT en septembre, à l’américaine CERT entre autres en décembre, ainsi qu’à plus de deux cents fabricants d’appareils concernés en janvier. Mais il n’existe toujours pas de solution.
En concertation avec un certain nombre de ces organisations, le problème est à présent en partie rendu public dans l’espoir que la communauté collabore elle aussi à une solution à ce bug qui, en attendant, s’est vu attribuer le code CVE-2022-05-02 ou ICS-VU-638779, VU#473698.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici