Une vulnérabilité zero-day dans uClibc et uClibc-ng, une bibliothèque standard C populaire, pourrait permettre à un acteur malveillant de lancer des attaques d’empoisonnement DNS sur des appareils IoT vulnérables.

Le bogue, identifié comme ICS-VU-638779, qui n’a pas encore été corrigé, pourrait exposer les utilisateurs à des attaques, ont averti les chercheurs.

Empoisonnement DNS

Dans une attaque d’empoisonnement DNS, le nom de domaine cible est résolu en adresse IP d’un serveur sous le contrôle d’un attaquant.

Cela signifie que si un acteur malveillant envoyait une demande de « mot de passe oublié », il pourrait la diriger vers sa propre adresse e-mail et l’intercepter, ce qui lui permettrait de changer le mot de passe de la victime et d’accéder à son compte.

Pour un appareil IoT, cette attaque pourrait potentiellement être utilisée pour intercepter une demande de mise à jour du micrologiciel et la diriger plutôt vers le téléchargement de logiciels malveillants.

La vulnérabilité d’empoisonnement DNS a été découverte par des chercheurs de Nozomi Networks, qui ont révélé que le problème n’était toujours pas corrigé, exposant potentiellement plusieurs utilisateurs à des attaques.

Nozomi Networks déclare que uClibc est connu pour être utilisé par les principaux fournisseurs tels que Linksys, Netgear et Axis, ou des distributions Linux telles que Embedded Gentoo. uClibc-ng est un fork spécialement conçu pour OpenWRT, un système d’exploitation courant pour les routeurs Web.

Le responsable de la bibliothèque n’a pas été en mesure de fournir un correctif, selon Nozomi. Les chercheurs ont déclaré qu’ils s’abstiendraient de partager des détails techniques ou de répertorier les appareils vulnérables jusqu’à ce qu’un correctif soit disponible.

« Il est important de noter qu’une vulnérabilité affectant une bibliothèque standard C peut être un peu complexe », a écrit l’équipe dans un article de blog cette semaine.

« Non seulement il y aurait des centaines ou des milliers d’appels à la fonction vulnérable dans plusieurs points d’un seul programme, mais la vulnérabilité affecterait un nombre indéfini d’autres programmes de plusieurs fournisseurs configurés pour utiliser cette bibliothèque. »

RATTRAPER TLStorm 2.0 : des millions de commutateurs réseau Aruba et Avaya affectés par des failles RCE