由交易ID的可预测性引起的未解决缺陷
流行的C标准库中UCLIBC和UCLIBC-NG中的零日脆弱性可以使恶意演员能够发起DNS中毒攻击物联网设备。
研究人员警告说,该错误尚未修补为ICS-VU-638779,可能会使用户受到攻击。
DNS中毒
在DNS中毒攻击中,目标域名已解决到在攻击者控制下的服务器的IP地址。
这意味着如果恶意演员要发送“被遗忘的”密码’请求,他们可以将其引导到自己的电子邮件地址并拦截它 - 允许他们更改受害者的密码并访问其帐户。
对于IoT设备,此攻击可能有可能用于拦截固件更新请求,而是将其指示下载恶意软件。
DNS中毒脆弱性是由NOZOMI Networks的研究人员发现的,后者透露该问题仍然没有援助,可能会暴露多个用户进行攻击。
NOZOMI网络指出,诸如Linksys,NetGear和Axis或Linux分布(例如嵌入式Gentoo)之类的主要供应商已知UCLIBC已知UCLIBC使用。UCLIBC-NG是专为OpenWrt设计的叉子,该叉形是Web路由器的常见操作系统。beplay体育能用吗
根据Nozomi的说法,图书馆维护者无法提供解决方案。研究人员说,他们将避免分享技术细节或上市易受伤害的设备直到可用。
团队在博客文章本星期。
“不仅在单个程序的多个点中会有数百或数千个呼叫漏洞的函数,而且漏洞会影响来自多个供应商的其他程序数量,这些供应商配置为使用该库。”
