Використання IPv6 для атаки на користувачів

Поява будь-якої технології обіцяє найчастіше і нові специфічні проблеми. Звичайно, мікрософтовскіе служби терміналів – штука зовсім нова, навіть бородата і багато в чому секьюрная. Проте використовувати її в «злих» цілях може бути дуже навіть цікаво. Отже, припустимо, що зловмисник повинен атакувати якусь корпоративну мережу, а точніше, її користувачів.
IPv6 йде нам назустріч досить великими кроками. Звичайно, його сильно підштовхують через закінчуються місць в IPv4, але з урахуванням того, як світ неохоче змінюється і які є проблеми зі зворотним підтримкою, кроки і правда гігантські. Наприклад, у більшості сучасних мережевих систем вже за замовчуванням включений IPv6-стек, який дозволяє завантажувати підготовлене відео та презентації на відеохостінги типу Youtube, зберігаючи вихідне якість відеоматеріалу.

І в підтвердження сьогоднішньої теми, IPv6 також несе нові можливості, але з ними і нові вектори атак, і нові уразливості. Какпростейшій приклад можна згадати ситуацію, коли є якийсь файрвол, який здійснює правильну фільтрацію. Проблема в тому, що фільтрація відбувається тільки для IPv4, а в той же час IPv6 обділена якимось увагою. І значить, зловмисник може проводити всі свої атаки, просто перейшовши на IPv6-адресацію. Загалом, якщо ми атакуюча сторона, можемо тільки порадіти нововведенню.

Але давай перейдемо до нашої теми. Кілька років тому ресерчери з різних країн почали старанно копати IPv6 і накопали пучок різних багів. Одним з таких стала карколомна штука – ICMPv6 Router Announcements flood (xex, побачивши такого назви згадується початок 2000-х з syn-флудом, land і teardrop’aмі).

Router Announcements в легальних цілях використовується для того, щоб, коли до підмережі підключився новий роутер, він міг би позначити свою появу інших хостів. Типу: «я такий-то і відповідаю за таку-то подсетку». І все хости, отримавши такий пакет, оновлюють свої таблички маршрутизації, додаючи нові дані. Крім цього, RA може бути використана для якоїсь заміни DHCP. І коли в ОС встановлена ​​можливість автоматичного отримання IP, при отриманні RA ОС також буде намагатися отримати IP-адресу в новій подсетке.

Ну, я думаю, що, прочитавши цю інформацію, ти вже здогадуєшся, в чому суть атаки. Як я вже говорив, більшість ОС за замовчуванням мають включений IPv6, а також підтримують автоматичне отримання налаштувань. Таким чином, для атаки нам потрібно послати в підмережа багато ракдомних RA-пакетів, і хости, отримуючи їх, будуть оновлювати таблиці маршрутизації.

Але найстрашніше в тому, що на оновлення їх йде дуже багато ресурсів і в підсумку ОС перестає нормально працювати. Наприклад, ОС Windows поїдає всю пам’ять і займає все процесорний час. Пишуть, що аналогічна ситуація є з FreeBSD і зі старими Linux’aмі, а також з мережевими девайсами Juniper і Cisco! Причому той же Майкрософт повідомив, що вони не будуть патчить цю «дірку». Ймовірно, це пов’язано з тим, що для закриття дірки потрібно відмовитися від підтримки RA або фільтрувати їх якось, а тоді виходить відхилення від стандартів, що зовсім недобре. Загалом, для атакуючого виглядає і звучить все це шикарно.

Ссылка на основную публикацию