IPv6 et la sécurité : nouvelles du front – septembre

Articles publiés

Gérôme Dieu a publié une infographie sur le blog Orange Sécurité : IPv6 : êtes-vous prêts pour une transition sans risques ?. Elle présente quelques chiffres et dates, ainsi que « 5 problématiques de sécurité à garder à l’esprit lors de la transition ».

Un article a été publié sur le blog Un informático en el lado del mal : Herramientas de seguridad y ataques de red en IPv4/IPv6. La capacité de détection d’une attaque de type MITM en IPv4 et en IPv6 par 6 solutions de sécurisation de poste de travail a été évaluée (NOD32 Smart Security 6, MARMITA 1.3, etc.). Seules 3 solutions ont détecté l’attaque en IPv4 (ARP Spoofing) et aucune n’a détecté l’attaque en IPv6 (NDP Spoofing).

Un white paper a été publié sur le blog Eleven Paths : White Paper: Practical hacking in IPv6 networks with Evil FOCA. Il décrit de manière assez détaillée une attaque de type MITM utilisant NAT64/DNS64 qui peut être mise en œuvre avec l’outil Evil Foca. Le white paper commence par expliquer des bases d’IPv6, puis quelques concepts et finit par une explication de fonctionnement de l’attaque.

Conférences

Enno Rey, Christopher Werny et Stefan Schwalb ont effectué une présentation lors de la conférence IPv6 Hackers : IPv6 Capabilities of Commercial Security Components. Les slides présentent notamment les résultats des tests qu’ils ont effectués sur les produits Cisco ASA 5505, Check Point Gaia R76 et Juniper SSG-5 : comparaison des performances IPv4 et IPv6 et étude de la résistance face à diverses attaques IPv6.

Oliver Eggert a effectué une présentation lors de la conférence IPv6 Hackers : testing your IPv6-firewall with ft6. Il y a présenté un outil permettant de tester les capacités de filtrage d’un pare-feu IPv6 : ft6. Il est disponible ici.

Eldad Zack a effectué une présentation lors de la conférence IPv6 Hackers : Firewall Security Assessment and Benchmarking IPv6 Firewall Load Tests. Les slides présentent les résultats de tests de performance sur les produits Checkpoint Firewall CP2210 et Juniper J2320 Service Router : mesure du débit avec un trafic IPv4, avec un trafic IPv6, avec un trafic IPv4 et IPv6, avec un trafic IPv6 comportant des EH, etc.

Marc Heuse a effectué une présentation lors de la conférence IPv6 Hackers : THC-IPV6 News. Il y a présenté la suite d’outils THC-IPv6 : outils disponibles, comment effectuer de l’injection avec les protocoles 802 .1q, 6in4 ou PPPoE, les améliorations qu’apportera la future version, etc.

Fernando Gont a effectué une présentation lors de la conférence IPv6 Hackers : IPv6 Toolkit News. Il y a présenté les améliorations qu’apportera la future version d’IPv6 Toolkit : correction de bugs, possibilité de « piper » des adresses avec l’outil scan6, ajout d’une fonctionnalité de détection de congestion dans l’outil scan6, etc.

Chema Alonso a effectué une présentation lors de la conférence Defcon : Fear the Evil FOCA Attacking Internet Connection with IPv6. Il y a présenté l’outil Evil Foca qui permet de mettre en œuvre diverses attaques de type MITM (ARP Spoofing, NDP Spoofing, etc.). Une nouvelle version de l’outil a été publiée. Elle permet de mettre en œuvre une nouvelle attaque basée sur WPAD en IPv6.

Outils

La version 2.3 de la suite d’outils THC-IPv6 comprend 2 nouveaux outils, thcsyn6 et redirsniff6, et apporte diverses améliorations aux outils existants.

La version 1.4.1 de la suite d’outils IPv6 Toolkit apporte diverses corrections de bug et améliorations.

La version 6.40 de Nmap permet désormais d’utiliser une notation « CIDR-style » lors d’un scan de réseau IPv6.

Vulnérabilités

Les fonctions « udp_v6_push_pending_frames » et « ip6_append_data_mtu » du noyau Linux, version 3.10.3 ou inférieure, sont affectées par des vulnérabilités (CVSS base = 4,7) permettant à un attaquant local de créer un déni de service en faisant crasher le système (CVE-2013-4162 et CVE-2013-4163).

La pile ICMPv6 de Windows est affectée par une vulnérabilité (CVSS base = 4,7) pouvant permettre à un attaquant de créer un déni de service en envoyant un paquet ICMPv6 spécialement conçu (MS13-065 et CVE-2013-3183). La mise à jour 2868623 corrige la vulnérabilité.

Les fonctionnalités « IP_MSFILTER » et « IPV6_MSFILTER » de l’implémentation multicast du noyau FreeBSD, versions 8.3 à 9.2-PRERELEASE, sont affectées par des vulnérabilités (CVSS base = 7,2) pouvant permettre à un attaquant local d’élever ses privilèges (FreeBSD-SA-13:09.ip_multicast et CVE-2013-3077).

Le noyau d’Apple IOS, versions antérieures à 7, est affecté par une vulnérabilité (CVSS Base = 6,1) permettant de créer un déni de service en envoyant des messages ICMPv6 spécialement conçus (APPLE-SA-2013-09-18-2, CVE-2011-2391).

Les modules « sys_netinet6 » et « sys_netatm » du noyau FreeBSD, versions antérieures à celles publiées le 10/09, sont affectées par une vulnérabilité (CVSS base = 6,9) pouvant permettre à un attaquant local de créer un déni de service (kernel panic) ou potentiellement d’exécuter du code arbitraire (FreeBSD-SA-13:12.ifioctl et CVE-2013-5691).