viernes, 16 de noviembre de 2012

Un ataque devastador mediante flooding con mensajes RA en IPv6

Imagina un ataque extremadamente peligroso, en el que un único dispositivo pueda parar la actividad de todas las máquinas de una red local. Estos ataques existen y son posibles gracias a diversas vulnerabilidades de flooding en IPv6 mediante mensajes RA (Router Advertisement)

La primera de ellas fue reportada hace ya dos años (http://www.securityfocus.com/bid/45760/info) y todavía afectan a M$ Windows XP, Vista, Windows 7, Server 2008 y a versiones antiguas de Solaris, OS X, FreeBSD/NetBSD (estos últimos si parchearon) e incluso a las consolas XBox y PS3.

Para probarla puedes ejecutar flood_router6 dentro de la suite de ataque thc-ipv6 (se incluye por defecto en BackTrack), o también mediante scapy o npg.

El segundo ataque, publicado recientemente y aún más potente, se aprovecha de la característica DAD (Duplicate Address Detection) de ICMPv6 y podemos encontrarlo también en la versión 2 de thc-ipv6: dos-new-ip6.

Como veis en el siguiente vídeo el resultado es devastador:
 

Hay varias formas de mitigar estos ataques. Las más efectivas son también las más radicales: desactivar IPv6 si no se utiliza o desactivar Router Discovery, algo quizás no muy apropiado para PCs clientes. Otras opciones son utilizar un firewall local para bloquear mensajes RA, una solución barata pero fácilmente rompible, o utilizar switches con RA Guard, que también puede evadirse mediante varias técnicas de fragmentación de paquetes...

Podéis encontrar mayor detalle e información en:


 
Win 7 DoS by RA Packets


Win 8 Developer Preview is also vulnerable


RA Guard Evasion


FreeBSD is also vulnerable!


Excellent advisory from Marc Heuse* with complete disclosure timeline


Multiple Vendors IPv6 Neighbor Discovery Router Advertisement Remote Denial of Service Vulnerability


CVE-2010-4669 - Router Advertisements Cause DoS in Windows


Bypassing Cisco's ICMPv6 Router Advertisement Guard feature


Packet captures of RA Guard Evasion in action


New RA Flood Attack


 

No hay comentarios:

Publicar un comentario