Pesquisadores tornam público bug de IoT não corrigido

Da Redação
03/05/2022

Analistas de segurança cibernética publicaram informações na segunda-feira, 2, sobre um bug não corrigido, potencialmente grave, no código para dispositivos da Internet das Coisas (IoT). A divulgação ocorre  porque eles querem a ajuda do público para corrigir o problema, que pode afetar a tecnologia usada em infraestruturas críticas.

A vulnerabilidade está em uma biblioteca para a linguagem de programação C — uClibc/uClibc-ng — que comumente é usada na criação de software para produtos IoT, disseram pesquisadores da Nozomi Networks, especializada na proteção de sistemas de controle industrial (ICS) usados ​​por fabricantes, empresas públicas e outros setores críticos de infraestrutura.

A falha pode permitir que invasores realizem “ataques de envenenamento de DNS” contra um dispositivo, essencialmente confundindo como ele reconhece a atividade do sistema de nomes de domínio da internet. Essa interrupção pode criar uma oportunidade para atividades muito mais destrutivas, “porque o invasor, envenenando os registros DNS, é capaz de redirecionar as comunicações de rede para um servidor sob seu controle”, escreveram os pesquisadores.

“O invasor pode então roubar ou manipular informações transmitidas pelos usuários e realizar outros ataques contra esses dispositivos para comprometê-los completamente”, disse a Nozomi Networks. A empresa argumenta que veio a público com informações sobre a vulnerabilidade não corrigida porque, mesmo após um longo processo de divulgação, o mantenedor da biblioteca uClibc “não conseguiu desenvolver uma correção”. O objetivo da Nozomi Networks é trabalhar “com o mantenedor da biblioteca e a comunidade em geral para apoiar a busca de uma solução”, escreveram os pesquisadores.

Veja isso
Spring4Shell pode ser usada para ataques DDoS a sistemas IoT
Números já revelam sinais de maturidade em OT/IoT

O bug pode afetar milhões de dispositivos IoT, disse a Nozomi Networks, porque a biblioteca uClibc/uClibc-ng “é conhecida por ser usada por grandes fornecedores como Linksys, Netgear e Axis, ou distribuições Linux como o Embedded Gentoo”. Os pesquisadores, por cautela, não publicaram informações sobre nenhum dispositivo específico afetado pela vulnerabilidade.

A Nozomi Networks tem um interesse particular no bug porque o uClibc-ng é “especificamente projetado para o OpenWRT, um sistema operacional para roteadores possivelmente implantados em vários setores críticos de infraestrutura”.

A interação de dispositivos IoT com a tecnologia ICS tradicional atraiu mais atenção nos últimos anos, à medida que a indústria e o governo prestaram mais atenção às ameaças cibernéticas contra a infraestrutura crítica.A empresa disse que, depois de descobrir o bug, o divulgou ao ICS-CERT, o escritório da Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos para ameaças cibernéticas contra a tecnologia ICS. A comunicação foi feita em setembro o ano passado. A Nozomi Networks disse que notificou os fornecedores em 1º de abril e divulgaria o erro na segunda-feira.

Compartilhar: