DNS零日漏洞影响数百万台网络路由器和物联网设备

《Malwarebytes》2022年5月4日报道，网络安全研究人员发现在网络路由器和物联网设备所广泛使用的C标准库中存在高危安全漏洞，攻击者可利用此漏洞对目标设备进行非法DNS缓存攻击进而通过中间人攻击（Machine-in-the-Middle）将受控主机重定向到非法网络服务器或钓鱼网站。此漏洞存在于名为“uClibc 0.9.33.2”的C标准库中，攻击者需通过枚举法获取客户端“Transaction ID”值，并仿冒一个包含合法源端口的DNS响应，同时优先于合法DNS响应返回客户端请求来对此漏洞进行利用。截至目前，Linksys、Netgear、Axis以及使用Gentoo Linux操作系统的各大世界知名厂商旗下产品都使用uClibc C标准库。由于该漏洞尚未得到修复，因此具体受该漏洞影响的产品型号尚未公布。