פורסקאוט ו-JSOF חושפות חולשות DNS חדשות

המשפיעות על מיליוני מכשירים בשימוש פרטי וארגוני
מעבדות המחקר של פורסקאוט (Forescout Research Labs), בשיתוף פעולה עם JSOF Research, חשפו את NAME:WRECK, סדרה של תשע חולשות הקשורות ל-4 מערכי TCP/IP נפוצים (FreeBDS, IPnet, Nucleus NET ו-NetX). החולשות האלה קשורות ליישומי DNS (Domain Name System), ועלולות לגרום למתקפת מניעת שירות (DoS) או להפעלה מרחוק של קוד (RCE). בכך הן מאפשרות לתוקפים להשבית פעילות של מכשירים או להשתלט עליהם.

השימוש הנפוץ במערכים האלה, והחשיפה החיצונית של יישומי DNS פגיעים מובילים לגידול דרמטי במישור התקיפה. המחקר הנוכחי מספק עדות נוספות לכך שקהילת ה-IT צריכה לתקן בעיות ב-DNS, שאנו מאמינים כי הן נפוצות הרבה יותר מכפי שאנו יודעים כעת.

המחקר הנוכחי חושף חולשות במערכי תקשורת נפוצים:
• Nucleus NET הוא חלק מ-Nucleus RTOS ואתר האינטרנט שלו מציין כי יותר מ-3 מיליארד מכשירים משתמשים במערכת ההפעלה בזמן אמת, כולל מכשירי אולטרה סאונד, מערכות אחסון, מערכות חיוניות בתחום התעופה ועוד. סוגי המכשירים שמריצים Nucleus RTOS באופן הנרחב ביותר כוללים מערכות לאוטומציה של בניינים, טכנולוגיה תפעולית ו-VoIP.
• FreeBDS מוכר בעיקר בזכות השימוש בו בשרתים עתירי ביצועים במיליוני רשתות IT. הוא גם מהווה בסיס לפרויקטים מוכרים מאוד בקוד פתוח, כגון פיירוולים והתקני רשת מסחריים. סוגי המכשירים שעושים את השימוש הנפוץ ביותר ב-FreeBSD הם מחשבים, מדפסות וציוד רשת.
• NetX פועל בדרך כלל על גבי ThreadX RTOS. יישומים נפוצים שלו כוללים מכשור רפואי, מערכות על שבב וסוגים מסוימים של מדפסות. ההערכה היא כי ThreadX פעל על גבי 6.2 מיליארד מכשירים ב-2017, כשמכשירים ניידים, מכשירי אלקטרוניקה ביתיים ואוטומציה לעסקים, מהווים את קטגוריות השימוש הנפוצות ביותר. המכשירים הנפוצים ביותר שמריצים ThreadX כוללים מדפסות, שעונים חכמים, וציוד אנרגיה במערכות בקרה תעשייתיות.

ארגונים במגזרי ממשל ושירותי הבריאות הם בעלי החשיפה הגדולה ביותר לכל שלושת המערכים. בהערכה שמרנית, 1% מכלל 10 מיליארד פריסות ויישומים שאוזכרו לעיל עלול להיות פגיע. מכאן ניתן להעריך לפחות 100 מיליון מכשירים עלולים להיפגע מ-NAME:WRECK.

מסייעים לקהילה לתקן חולשות ב-DNS
מטרתנו היא לדווח על החולשות לספקים כדי להנגיש להם מידע חיוני אודות המוצרים שנפגעו ולהמשיך את הדיאלוג עם קהילת המחקר:

• אנו קוראים למפתחי מערכי TCP/IP שעדיין לא נותחו להוריד את ה-anti-patterns הזמינים בדוח הטכני שלנו, לבדוק את הקוד שלהם, לבדוק הימצאות באגים ולתקנם. כדי לסייע בתהליך, פרסמנו קוד פתוח שפותח עבור כלי האנליזה הסטטי עבור/ בשם Joren. הקוד מסדיר את ה- anti-patterns שזיהינו, ומאפשר לחוקרים ולמפתחים לבצע ניתוח של מערכים נוספים לגבי הימצאות חולשות דומות.

• אנו מזמינים חוקרים, מפתחים וספקים לפנות אלינו אם הם מעוניינים לקבל מערך הוכחת היתכנות עבור ה-anti-patterns שזוהו. המערכים הללו יכולים לשמש כדי לבחון באופן אוטומטי חוקים של זיהוי חדירה.

• זיהינו כי חולשות רבות קיימות מכיוון שמסמכי RFC אינם ברורים, מדויקים או שהם מורכבים מידי. כדי לסייע למנוע מבעיות כאלה להופיע בעתיד, הגשנו ל-IETF טיוטת RFC בה אנו רושמים את כל ה- anti-patterns שזיהינו, לרבות כיצד להימנע מהם במהלך הטמעה של DNS client או בשרת.

המלצות לפעולה
הגנה מלאה כנגד NAME:WRECK דורשת עדכון של מכשירים המריצים גרסאות פגיעות של מערכי IP. FreeBSD, Nucleus NET ו-NetX עודכנו לאחרונה, וספקי מכשירים המשתמשים בתוכנות אלה צריכים לספק עדכונים משלהם ללקוחות.

עם זאת, לא תמיד ניתן לעדכן מכשירים, והמאמץ הנדרש לשם עדכון משתנה באופן משמעותי באם מדובר בשרת IT סטנדרטי או מכשיר IoT. לאור האתגר בעדכון, אנו ממליצים על אסטרטגיית הפחתת הסיכון הבאה:

• גילוי ובניית מצאי של כל המכשירים המריצים את המערכים הפגיעים. מעבדת המחקר של פורסקאוט פרסמה קוד פתוח המשתמש בטביעות אצבע פעילות כדי לזהות מכשירים המריצים מערכים פגיעים. הקוד מתעדכן כל הזמן עם חתימות חדשות בהתאם להתפתחויות האחרונות במחקר שלנו. לקוחות פורסקאוט המשתמשים ב-eyesight יכולים לזהות באופן אוטומטי מכשירים המשתמשים ב-FreeBSD, Nucleus RTOS, ThreadX או VxWorks.

• אכיפה של בקרי סגמנטציה והפעלת הגיינת רשת מתאימה כדי למזער את הסיכון ממכשירים פגיעים. יש להגביל את אפיקי התקשורת החיצוניים ויש לבודד או להכיל מכשירים פגיעים באזורים מסוימים כאמצעי מגביל במקרה ולא ניתן לעדכנם, או עד שניתן יהיה לעשות זאת.

• ניטור אחר עדכונים מצד ספקים שהושפעו מהחולשות. יש לבנות תוכנית תיקון עבור המכשירים הפגיעים שזוהו, תוך איזון בין הסיכון העסקי והדרישות להמשכיות עסקית.

• הגדרת מכשירים לשימוש בשרתי DNS פנימיים, ככל הניתן. יש לנטר תעבורת DNS חיצונית מאחר וניצול הפרצות מחייב ששרת DNS זדוני יענה עם תקשורת של חבילות נתונים זדוניות.

• ניטור כל תעבורת הרשת אחר חבילות נתונים זדוניות אשר מנסות לנצל פרצות ידועות או פרצות יום אפס לניצול הפעלות DNS, mDNS ו-DHCP. יש לחסום תעבורה אנומלית ולא שגרתית או לפחות לדווח למנהלי הרשת. כדי לנצל פרצות NAME:WRECK, תוקף צריך לאמץ תהליך דומה עבור כל מערך TCP/UP. המשמעות היא כי ניתן להשתמש בטכניקת זיהוי זהה של NAME:WRECK גם במערכי TCP/IP נוספים ובמוצרים שעדיין לא נותחו. בנוסף, לקוחות Forescout eyeInspect שהפעילו את קוד SD לזיהוי איומים, שהופץ כחלק מ-AMNESIA:33, יכולים לזהות את חולשות NAME:WRECK.