Un ataque devastador mediante flooding con mensajes RA en IPv6

Imagina un ataque extremadamente peligroso, en el que un único dispositivo pueda parar la actividad de todas las máquinas de una red local. Estos ataques existen y son posibles gracias a diversas vulnerabilidades de flooding en IPv6 mediante mensajes RA (Router Advertisement)

La primera de ellas fue reportada hace ya dos años (http://www.securityfocus.com/bid/45760/info) y todavía afectan a M$ Windows XP, Vista, Windows 7, Server 2008 y a versiones antiguas de Solaris, OS X, FreeBSD/NetBSD (estos últimos si parchearon) e incluso a las consolas XBox y PS3.

Para probarla puedes ejecutar flood_router6 dentro de la suite de ataque thc-ipv6 (se incluye por defecto en BackTrack), o también mediante scapy o npg.

El segundo ataque, publicado recientemente y aún más potente, se aprovecha de la característica DAD (Duplicate Address Detection) de ICMPv6 y podemos encontrarlo también en la versión 2 de thc-ipv6: dos-new-ip6.

Como veis en el siguiente vídeo el resultado es devastador:
 

Hay varias formas de mitigar estos ataques. Las más efectivas son también las más radicales: desactivar IPv6 si no se utiliza o desactivar Router Discovery, algo quizás no muy apropiado para PCs clientes. Otras opciones son utilizar un firewall local para bloquear mensajes RA, una solución barata pero fácilmente rompible, o utilizar switches con RA Guard, que también puede evadirse mediante varias técnicas de fragmentación de paquetes...

Podéis encontrar mayor detalle e información en:

Win 7 DoS by RA Packets
Win 8 Developer Preview is also vulnerable
RA Guard Evasion
FreeBSD is also vulnerable!
Excellent advisory from Marc Heuse* with complete disclosure timeline
Multiple Vendors IPv6 Neighbor Discovery Router Advertisement Remote Denial of Service Vulnerability
CVE-2010-4669 - Router Advertisements Cause DoS in Windows
Bypassing Cisco's ICMPv6 Router Advertisement Guard feature
Packet captures of RA Guard Evasion in action
New RA Flood Attack

1 comentarios :

  1. Hola,

    ¿Habrá alguna condición en una Lista de Acceso IPv6 que permita mitigar esta vulnerabilidad?

    ResponderEliminar