NOME: WRECK Vulnerabilites
Os pesquisadores de Infosec do Forescout Research Labs e em parceria com a JSOF Research conseguiram descobrir um conjunto de 9 vulnerabilidades relacionadas ao DNS que podem afetar potencialmente mais de 100 milhões de dispositivos em todo o mundo. Essas vulnerabilidades foram agrupadas sob a designação NAME: WRECK. As explorações surgem na maneira como várias pilhas TCP/IP populares lidam com as solicitações do DNS.
O DNS ou Sistema de Nomes de Domínio é parte integrante da maneira como usamos a Internet e, mais especificamente, como encontramos e abrimos sites. Em vez de ter que memorizar o endereço IP numérico de cada site que gostaríamos de visitar, o sistema DNS faz isso para nós, pois combina os nomes de sites amigáveis que conhecemos com o endereço IP real. As vulnerabilidades NAME: WRECK estão relacionadas a pilhas TCP/IP que são pequenas bibliotecas que, no entanto, são essenciais para qualquer dispositivo que requeira conectividade com a Internet ou outras funcionalidades de rede, como consultas DNS. Explorar os pontos fracos recém-descobertos pode permitir que os agentes da ameaça obtenham controle sobre os dispositivos expostos ou comandem o seu desligamento.
As Metas do NOME: WRECK
O grupo de vulnerabilidades NAME: WRECK foi encontrado em quatro pilhas TCP/IP populares - FreeBSD, IPnet, Nucleus NET e NetX:
- O FreeBSD é comumente usado em firewalls, dispositivos comerciais de rede e também em vários projetos de código aberto. Os tipos de dispositivos que geralmente executam o FreeBSD incluem equipamentos de rede, impressoras e sistemas de computador
- O IPnet é freqüentemente encontrado em dispositivos conectados à rede, como impressoras, roteadores, firewalls, modems, equipamentos médicos e industriais.
- O Nucleus NET é um RTOS (Sistema Operacional em Tempo Real) que segundo seu site oficial é utilizado por bilhões de dispositivos. Entre eles estão dispositivos médicos, como máquinas de ultrassom, sistemas de armazenamento, sistemas eletrônicos usados em aviões e muito mais. Mesmo que se possa presumir que a maioria desses dispositivos não está conectada à Internet, isso ainda deixaria um grande conjunto de alvos em potencial para exploração.
- O NetX geralmente é executado como parte do Azure RTOS ThreadX. Ele pode ser encontrado, mais uma vez, em dispositivos médicos, modelos de impressoras múltiplas e SoCs (Systems on a Chip).
É bastante claro que as vulnerabilidades NAME: WRECK podem colocar pressão adicional no setor médico, que já é um dos principais alvos de ataques cibernéticos, especialmente das operações de implantação de ransomware.
Para mitigar as consequências em potencial de violações de dispositivo, as empresas são incentivadas a corrigir as versões afetadas dessas pilhas TCP/IP o mais rápido possível. FreeBSD, Nucleus NET e NetX já lançaram correções que tratam do problema.