Ungepatchte DNS-Lücke macht zahlreiche IoT-Geräte angreifbar

Forscher der IoT-Sicherheitsfirma Nozomi Networks weisen auf eine seit zehn Jahren ungepatchte Sicherheitslücke in einer Bibliothek der Programmiersprache C hin. Sie macht IoT-Geräte anfällig für DNS Cache-Poisoning-Angriffe. Bisher sei es den Entwicklern der Bibliothek nicht gelungen, den Fehler zu beseitigen.

Laut Andrea Palanca, Forscher bei Nozomi, ist die DNS-Implementierung in den C-Bibliotheken uClibc und uClibc-ng, die in vielen IoT-Produkten zum Einsatz kommen, fehlerhaft. Sie generieren bei DNS-Antworten und -Anfragen vorhersehbare, inkrementelle Transaktions-Identifier.

Die Pflege von uClibc wurde demnach bereits 20212 mit der Version 0.9.33.2 eingestellt. Bei uClibc wiederum handelt es sich um eine Fork für das IoT-Betriebssystem OpenWRT, das auch im Bereich kritische Infrastrukturen eingesetzt wird. uClibc wiederum soll von Linksys, Netgear, Axis und mehreren Linux-Distributionen verwendet werden.

Da es keinen Patch für den Fehler gibt, hält Nozomi Details zu den getesteten Geräten zurück. Palanca zufolge wurde eine breite Palette von bekannten IoT-Geräten mit der jeweils neuesten Firmware und einer hohen Wahrscheinlichkeit, dass sie in kritischen Infrastrukturen eingesetzt werden, untersucht.

Details zu der Schwachstelle liegen dem ICS-CERT und dem CERT/CC vor. Der Entwickler der Bibliothek erklärte er selbst sei nicht in der Lage, den Fehler zu beseitigen. Unterstützung aus der Community wurde in den vergangenen sechs Monaten jedoch nicht gefunden. Die Zero-Day-Lücke zeigt erneut, dass sich die Lieferkette auf eine Open-Source-Community verlässt, der es wiederum an Ressourcen und Geldmitteln fehlt, um die an sie gestellten Sicherheitsanforderungen zu erfüllen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

We siegt im Kampf um IT-Talente: Tech-Riesen oder kleinere IT-Unternehmen?

Freiraum und persönliche Arbeitsatmosphäre sind ausschlaggebend für Jobwechsel hin zu kleineren Unternehmen.

10 Stunden ago

Hybride Cloud-Lösungen: IT-Dienstleister wittern Morgenluft

Wachsende Automatisierungsmöglichkeiten und der Rückgriff auf Colocation-Provider geben Managed-Services- und Managed-Hosting-Anbietern neue Marktchancen.

12 Stunden ago

5G Campusnetz für TIP Innovationspark Nordheide

5G eröffnet Unternehmen und Forschungspartnern breites Spektrum verschiedener Anwendungen.

12 Stunden ago

Amazon kauft iRobot für 1,7 Milliarden Dollar

Der Hersteller von Saugrobotern verstärkt Amazons Smart-Home-Sparte. iRobot-CEO Cling Angle behält seinen Posten.

16 Stunden ago

Digital Employee Experience: So wird das „neue Normal“ nicht zur „neuen Qual“

Mitarbeitende haben hohe Erwartungen an hybrides Arbeiten. Welche Strategie für Zufriedenheit sorgt, erläutert Christoph Harvey,…

1 Tag ago

CISA und ASCS veröffentlichen die wichtigsten Malware-Varianten in 2021

Zu den wichtigsten Malware-Stämmen zählen Remote-Access-Trojaner (RATs), Banking-Trojaner, Info Stealer und Ransomware.

1 Tag ago