Les vulnérabilités NAME:WRECK concernent des centaines de millions de serveurs et d’équipements connectés

Les vulnérabilités NAME:WRECK concernent des centaines de millions de serveurs et d’équipements connectés

Des chercheurs de la société ForeScout ont récemment publié un article détaillant les vulnérabilités NAME:WRECK.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Ces vulnérabilités ont été découvertes dans le cadre du Project Memoria, que ForeScout décrit comme une initiative visant à fournir l’étude la plus importante sur la sécurité de la pile TCP/IP. Il s’agit donc d’examiner les différents protocoles de la pile, mais surtout leur implémentation dans les différentes bibliothèques logicielles qui sont embarquées dans des milliards d’appareils et leurs logiciels.

Les vulnérabilités NAME:WRECK concernent la façon dont les bibliothèques logicielles traitent le protocole DNS, et plus particulièrement la « compression des messages » qui permet de limiter la taille des réponses DNS en éliminant les doublons.

Ce sont 9 vulnérabilités, réparties dans l’implémentation DNS de 4 bibliothèques (FreeBSD, IPnet, Nucleus NET et NetX), qui ont été découvertes. L’impact des vulnérabilités va du déni de service à l’exécution de commandes arbitraires par un attaquant distant. Pour le moment, seul FreeBSD, NucleusNet et NetX ont publié des mises à jour permettant de corriger les vulnérabilités découvertes. Néanmoins, de nombreux équipements industriels étant concernés, il est probable que les mises à jour tarderont à être installées, potentiellement pour de longues périodes. D’autre part, étant donné le caractère bas niveau des composants responsables, il est possible que ni les utilisateurs ni les vendeurs des équipements n’aient conscience que leurs produits utilisent les implémentations vulnérables du protocole.

Bien que les scénarios d’attaques décrits soient complexes à mettre en place, ils restent néanmoins plausibles. D’autre part, les découvertes de ForeScout posent la question de la trop grande complexité des standards. Ayant constaté que plusieurs bibliothèques développées indépendamment avaient commis les mêmes erreurs d’implémentations du protocole DNS menant au même type de vulnérabilité. D’autre part, la moitié des bibliothèques étudiées qui ne sont pas vulnérable n’implémentent tout simplement pas les fonctionnalités impactées du protocole. Dans ce contexte, on peut légitimement se demander si le problème vient d’une mauvaise qualité du code produit, ou de la trop grande complexité des standards.

Ces découvertes font suite à la découverte des vulnérabilités Amnesia:33 qui avaient également eu lieu dans le contexte du Project Memoria, avec 33 vulnérabilités déjà découvertes dans la pile TCP/IP.

Le rapport complet peut être téléchargé depuis le site de ForeScout.

Références

Forescout and JSOF Disclose New DNS Vulnerabilities, Impacting Millions of Enterprise and Consumer Devices
NAME:WRECK FAQ
Breaking and fixing DNS implementations
NAME:WRECK vulnerabilities impact millions of smart and industrial devices

Référence XMCO

CXN-2021-1743


Arthur Gautier