主流域名解析库曝重大DNS投毒漏洞，影响数百万物联网设备

最新的网络安全研究中发现，一个未修复的关键安全漏洞被披露，通过利用该漏洞可以对物联网类产品造成巨大的安全威胁。该漏洞最早于 2021 年 9 月被报告，影响了用于开发嵌入式 Linux 系统的两个流行的 C 库 uClibc 和 uClibc-ng 的域名DNS系统的实现。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，uClibc 被 Linksys、Netgear 和 Axis 等主要供应商以及 Embedded Gentoo 等 Linux 发行版使用，这可能会使数百万物联网设备面临巨大的安全威胁。

网络安全研究人员表示，该漏洞是由库生成的 DNS 请求中包含的事务 ID 的可预测性引起的，这可能允许攻击者对目标设备实施 DNS 投毒攻击。

DNS 投毒，也称为 DNS 欺骗，是一种破坏 DNS 解析器缓存的技术，目的是将用户的域名解析请求重定向到恶意网站。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，uClibc 和 uClibc-ng 中的漏洞是由于为每个 DNS 查找分配了可预测的事务 ID 以及它们对源53号端口的静态使用，从而有效地破坏了源端口随机化保护。

成功利用该漏洞可能允许对手进行中间人 ( MitM ) 攻击并破坏 DNS 缓存，从而将互联网流量重定向到他们控制的恶意服务器。安全研究人员警告称，如果将操作系统配置为使用固定或可预测的源端口，则可以以可靠的方式轻松利用该漏洞，攻击者然后可以窃取和操纵用户传输的信息，并对这些设备进行其他攻击。