Google descubrió recientemente siete vulnerabilidades en el software DNS Dnsmasq. A continuación se explica cómo proteger los sistemas operativos, la IO y los dispositivos de red de su empresa.
Video: Por qué las soluciones de ciberseguridad son esenciales para los nuevos productos de IOPronto habrá 50.000 millones de IO en el mercado. Karl Holmqvist, CEO de Lastwall, y Ryan Brack, organizador del Global Cybersecurity Summit, explican por qué las soluciones de ciberseguridad requieren una planificación a largo plazo.
Google anunció recientemente que ha descubierto siete nuevas vulnerabilidades en el paquete de software Dnsmasq del Sistema de Nombres de Dominio, que proporciona servicios de resolución de nombres DNS para traducir los nombres de dominio a sus correspondientes direcciones IP con fines de conectividad.
Un artículo en el blog de seguridad de la compañía decía que el equipo «encontró tres posibles ejecuciones de código remoto, una fuga de información y tres vulnerabilidades de denegación de servicio que afectaban a la última versión en el servidor git del proyecto a partir del 5 de septiembre de 2019». En otras palabras, el exploit podría obtener privilegios administrativos en un dispositivo, proporcionar acceso a información confidencial o afectar negativamente al funcionamiento del dispositivo.
Más información sobre ciberseguridad
Para aprovechar la vulnerabilidad, un atacante necesitaría tener acceso administrativo a un dominio malicioso como hacker.com. El atacante podría entonces atraer a los usuarios para que intenten acceder a hacker.com, que dependería de las peticiones DNS del módulo dnsmasq. Estas solicitudes incluirían respuestas en caché de hacker.com. Al construir u organizar solicitudes y respuestas DNS específicas, un atacante podría desencadenar un desbordamiento de búfer interno a través de dnsmasq que podría ejecutar el código que ha proporcionado.
Dnsmasq también ofrece servicios DHCP, así como funciones de red tales como publicidad de routers y arranque de red. Es comúnmente usado y opera en una variedad de sistemas operativos y dispositivos; Red Hat Enterprise Linux, Ubuntu, Debian, CentOS, Slackware, Android, FreeBSD, OpenBSD, NetBSD, macOS, y varios routers domésticos y dispositivos IoT.
Red Hat confirmó que una vulnerabilidad crítica de desbordamiento de búfer en heap de Dnsmasq (CVE-2019-14491) considerada «la peor vulnerabilidad» tiene el potencial de afectar a todas las versiones de Dnsmasq en sus productos.
VER: Política de seguridad de redes (Tech Pro Research)
Aunque se trata de un conjunto bastante típico de vulnerabilidades para los sistemas operativos, el problema de Dnsmasq tiene el potencial de convertirse en un gran problema en el ámbito de la IO. Shodan, un motor de búsqueda de dispositivos relacionados con la IO, informa de que en la actualidad más de 1,2 millones de dispositivos pueden verse potencialmente afectados.
Craig Young, investigador de seguridad informática del equipo de investigación de vulnerabilidad y exposición de Tripwire, dijo que las vulnerabilidades tendrán un impacto mínimo contra Android debido a los mecanismos de seguridad existentes, pero pueden causar muchos más problemas para IO en todas partes. «El fallo CVE-2019-14491 está clasificado como un fallo RCE explotable a través de respuestas DNS elaboradas. Afortunadamente, hay muchos factores que hacen poco probable que los atacantes incorporen exploits para esta vulnerabilidad en algo como Mirai (malware que puede convertir dispositivos en red usando Linux en robots controlados a distancia que pueden lanzar ataques a sistemas y redes)», escribió.
Young declaró que el escenario de ataque más probable que podría imaginar sería una campaña de ataque que utilizara páginas web, mensajes instantáneos y correos electrónicos creados con la intención de activar solicitudes DNS salientes a un servidor bajo el control del atacante.
«Mientras que algunos en Internet han afirmado que esta vulnerabilidad sólo puede ser explotada por una consulta de registro PTR (reverse DNS), mi evaluación es que una respuesta elaborada a un registro de nombre canónico (CNAME o alias) puede desencadenar la vulnerabilidad que hace posible este ataque», dijo.
Sin embargo, incluso en este escenario, Young dijo que es poco probable que se pueda crear un exploit para obtener una ejecución de código fiable en la amplia gama de dispositivos vulnerables, todos ellos potencialmente ejecutando diferentes versiones del sistema operativo con diferentes bibliotecas y variaciones de dnsmasq. No obstante, afirmó que sigue siendo un imperativo crítico que los proveedores de IO aborden el tema y desarrollen actualizaciones para los productos afectados, ya que no se puede descartar por completo la posibilidad de un ataque generalizado.
VER: Defensa contra la ciberguerra: Cómo está trabajando la élite de la ciberseguridad para evitar un apocalipsis digital (PDF gratuito) (ConsejoTecnologico.com)
Como administrador de sistemas, estoy de acuerdo con Young: independientemente del nivel o la gravedad de la amenaza, las vulnerabilidades siempre deben ser parcheadas, ya que contribuyen a las mejores prácticas y, a menudo, los requisitos de seguridad o gobierno no le dejan otra opción.
Para los sistemas operativos Red Hat, ejecute yum update – para parchear todas las implementaciones existentes de Dnsmasq. Los usuarios de Ubuntu deben utilizar el comando «sudo apt-get upgrade» para aplicar todas las actualizaciones disponibles. Los mecanismos de actualización pueden variar para FreeBSD, OpenBSD y NetBSD, pero el comando «pkg_add -ui» debería funcionar para todos ellos. Los usuarios de Mac OS pueden utilizar el App Store para aplicar las actualizaciones disponibles.
También puede encontrar el último paquete de dnsmasq aquí para la instalación manual; la versión 2.78 es la versión aprobada.
Para los productos Android, la actualización de seguridad de Android de octubre contendrá una solución para estos problemas, así que asegúrese de actualizar los dispositivos o indique a su base de usuarios que lo haga tan pronto como haya una actualización de software disponible.
Para enrutadores y dispositivos IoT, póngase en contacto con su proveedor o visite su sitio web para determinar si sus productos están afectados y, en caso afirmativo, si hay un parche disponible y cómo aplicarlo. Generalmente esto será en forma de una actualización del firmware que se puede usar para»flashear» el dispositivo. Priorice su programación para que los dispositivos conectados a Internet se actualicen primero, seguidos de los que operan exclusivamente en redes locales.
También considere la posibilidad de usar reglas de firewall para separar el tráfico de subredes no deseadas o bloquear el acceso a Internet completamente en los servidores (han pasado años desde que he accedido a Internet desde cualquier otro servidor que no sea un sistema de prueba. Los fabricantes generalmente tienen una mentalidad de «encenderlo todo para comodidad del usuario, para reducir las llamadas de soporte y promover el uso de dispositivos», por lo que desactivar funciones o servicios innecesarios también es siempre una buena idea, independientemente del sistema operativo o del dispositivo en cuestión.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo
Ver también: