Miljoenen IoT-apparaten kwetsbaar door ongepatcht beveiligingslek in library

Miljoenen Internet of Things-apparaten zijn door een beveiligingslek in een populaire c-library kwetsbaar voor aanvallen, zo claimt securitybedrijf Nozomi Networks. Een beveiligingsupdate is nog altijd niet beschikbaar. De kwetsbaarheid is aanwezig in de libraries uClibc en spin-off uClibc-ng. Het gaat om twee libraries voor het ontwikkelen van embedded Linux-systemen.

Door het versturen van een speciaal geprepareerd request naar systemen waarop de kwetsbare libraries draaien is dns poisoning mogelijk. Hierbij zal het systeem een door de aanvaller opgegeven ip-adres bezoeken in plaats van het bedoelde ip-adres. Volgens de onderzoekers zijn hierdoor ook man-in-the-middle aanvallen mogelijk, omdat een aanvaller het verkeer van het kwetsbare systeem via een eigen server kan routeren.

De kwetsbaarheid werd vorig jaar september bij het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid gemeld. Pas in maart lukte het een andere instantie om de maintainer van uClibc-ng te bereiken. Die stelde echter dat hij niet in staat is om de kwetsbaarheid te verhelpen en hoopt door openbaarmaking dat anderen hierbij kunnen helpen. Aangezien er nog altijd geen patch beschikbaar is heeft Nozomi geen details over kwetsbare apparaten gegeven, maar het bedrijf stelt dat miljoenen apparaten de libraries gebruiken.