IPv6 et la sécurité : nouvelles du front – juin

Articles publiés

Fernando Gont a publié deux drafts :

Il y propose des méthodes pour bloquer les messages DHCPv6 et NDP malveillants au niveau des commutateurs. L’objectif est de bloquer les messages non légitimes risquant de perturber le fonctionnement d’un réseau.

Fernando Gont a aussi publié un article intitulé « Analysis: Vast IPv6 address space actually enables IPv6 attacks ». Il y recense des méthodes pouvant être utilisées pour effectuer le scan d’un réseau IPv6 sans avoir à tester toutes les adresses comme en IPv4. Les méthodes varient selon que l’adressage soit basé sur :

  • les adresses MAC ;
  • les bits de poids faible ;
  • les adresses IPv4 ;
  • des mots du dictionnaire ;
  • le mécanisme d’adresses temporaires ;
  • des mécanismes de transition.

 

Conférences

Plusieurs présentations traitant d’IPv6 ont eu lieu à la conférence TNC 2012, à Reykjavik, en Islande.

Eric Vyncke, CTO/Consulting Engineering et Distinguished Engineer chez Cisco, a effectué une présentation : « The Layer-2 Insecurities of IPv6 and the Mitigation Techniques ». Sa présentation est presque identique à celle qu’il avait effectuée le mois dernier à la conférence organisée par IKT-Norge (voir mon billet du mois précédent).

Tomas Podermanski, Matej Grégr et Miroslav Švéda, de l’université Brno University of Technology, ont aussi effectué une présentation. Elle est intitulée « Deploying IPv6 – practical problems from the campus perspective ». Ils ont déployé IPv6 dans leur université et présentent un retour d’expérience très intéressant, notamment dans le paper. Ce retour d’expérience est axé sur l’aspect sécurité du déploiement.

Andrea De Vita, Abraham Gebrehiwot, Alessandro Mancini et Marco Sommani, de l’organisme de recherche CNR – Istituto di Informatica e Telematica, ont présenté « 6Mon: Rogue IPv6 Router Advertisement detection and mitigation and IPv6 address utilization network monitoring tool ». Ils y présentent l’outil qu’ils ont développé : 6Mon. C’est un outil de supervision réseau capable d’inspecter les messages Router Advertisement, Neighbor Solicitation, ARP et DHCP. Le but est de permettre aux administrateurs réseau de trouver les associations entre les adresses MAC, IPv4 et IPv6, d’être alerté lorsqu’un routeur malveillant commence à émettre des messages Router Advertisement et de permettre de neutraliser les effets de ces routeurs malveillants.

 

Outils

La version 6 de nmap est sortie. Elle améliore le support d’IPv6.

 

Vulnérabilités

Plusieurs vulnérabilités dans le noyau Linux ont été identifiées :

  • CVE-2011-4326 : Cette vulnérabilité  (CVSS Base = 7,1) affecte les versions antérieures à 2.6.39 et permet de faire crasher un équipement en envoyant des paquets IPv6 fragmentés. L’équipement doit, entre autres, être configuré en mode pont.
  • CVE-2011-2699 : Cette vulnérabilité (CVSS Base = 7,8) affecte les versions antérieures à 3.1. Le noyau utilise le même générateur pour générer la valeur « fragment identification » quelque soit la destination en IPv6. Par conséquent, la valeur « fragment identification » est prédictible et il est possible de mettre en œuvre des attaques de type DoS.
  • CVE-2012-1583 : Cette vulnérabilité (CVSS Base = 5.0) affecte les versions antérieures à 2.6.22 ayant le module « xfrm6_tunnel » activé. Dans ces conditions, l’envoi de paquets spécialement conçus permet de causer un déni de service.

Lorsque le support d’IPv6 a été ajouté dans sudo, une vulnérabilité a été introduite (CVSS Base = 7,2). Elle vient d’être découverte et affecte les versions 1.6.9p3 à 1.8.4p4 : CVE-2012-2337, alert netmark. Si le fichier sudoers possède une configuration particulière, un utilisateur présent dans ce fichier pourrait être en mesure d’élever ses privilèges.