Imagina un ataque extremadamente peligroso, en el que un único dispositivo pueda parar la actividad de todas las máquinas de una red local. Estos ataques existen y son posibles gracias a diversas vulnerabilidades de flooding en IPv6 mediante mensajes RA (Router Advertisement).
La primera de ellas fue reportada hace ya dos años (http://www.securityfocus.com/bid/45760/info)
y todavía afectan a M$ Windows XP, Vista, Windows 7, Server 2008 y a
versiones antiguas de Solaris, OS X, FreeBSD/NetBSD (estos últimos si
parchearon) e incluso a las consolas XBox y PS3.Para probarla puedes ejecutar flood_router6 dentro de la suite de ataque thc-ipv6 (se incluye por defecto en BackTrack), o también mediante scapy o npg.
El segundo ataque, publicado recientemente y aún más potente, se aprovecha de la característica DAD (Duplicate Address Detection) de ICMPv6 y podemos encontrarlo también en la versión 2 de thc-ipv6: dos-new-ip6.
Como veis en el siguiente vídeo el resultado es devastador:
Hay varias formas de mitigar estos ataques. Las más efectivas son también las más radicales: desactivar IPv6 si no se utiliza o desactivar Router Discovery, algo quizás no muy apropiado para PCs clientes. Otras opciones son utilizar un firewall local para bloquear mensajes RA, una solución barata pero fácilmente rompible, o utilizar switches con RA Guard, que también puede evadirse mediante varias técnicas de fragmentación de paquetes...
Podéis encontrar mayor detalle e información en:
Win 7 DoS by RA Packets
Win 8 Developer Preview is also vulnerable
RA Guard Evasion
FreeBSD is also vulnerable!
Excellent advisory from Marc Heuse* with complete disclosure timeline
Multiple Vendors IPv6 Neighbor Discovery Router Advertisement Remote Denial of Service Vulnerability
CVE-2010-4669 - Router Advertisements Cause DoS in Windows
Bypassing Cisco's ICMPv6 Router Advertisement Guard feature
Packet captures of RA Guard Evasion in action
New RA Flood Attack
No hay comentarios:
Publicar un comentario