IPv6 et la sécurité : nouvelles du front – novembre

Articles publiés

Bruce Sinclair a publié un article sur le blog Network World : Biggest risks in IPv6 security today. Il y présente les 6 principaux risques liés à IPv6 selon les membres du forum gogoNET :

  • « lack of IPv6 security training/education » ;
  • « security device bypass via unfiltered IPv6 and tunneled traffic » ;
  • « lack of IPv6 support at ISPs and vendors » ;
  • « congruence of security policies in v4 & v6 » ;
  • « bugs in new code » ;
  • « absence of NAT ».

Conférences

Mathias Morbitzer a effectué une présentation lors de la conférence HITB : TCP Idle Scans in IPv6. Il y a présenté les résultats de sa thèse au cours de laquelle il a implémenté la fonctionnalité Idle Scans en IPv6 dans l’outil Nmap. Outre les slides, une présentation courte de son travail est disponible ici et sa thèse complète est disponible ici.

Outils

Nouvelle version d’IPv6 Toolkit qui corrige l’erreur « failure to obtain next-hop address ». Changelogs ici.

Enno Rey a rendu public un de ses outils nommé IPv6 Scanner. Basé sur les langages Python et Scapy, il permet d’effectuer des scans de ports et implémente des méthodes d’évasion.

Vulnérabilités

2 vulnérabilités (CVSS Base = 6,8 et 5,8) affectant Blackberry Link ont été découvertes :

  • Blackberry Link embarque un serveur Nginx qui écoute sur une adresse IPv6 et permet de lire et écrire des fichiers arbitraires sans contrôle d’accès (CVE-2013-3694 et BSRT 2013-012) ;
  • Dans certains cas d’utilisation, Blackberry Link ne détermine pas correctement quel est l’utilisateur connecté et permet ainsi  d’accéder à des fichiers arbitraires à l’aide de requêtes IPv6 (CVE-2013-6798 et BSRT 2013-012).

Une vulnérabilité (CVSS Base = 7,1) affectant la fonctionnalité UFO du noyau Linux a été découverte : il est possible de faire crasher l’OS en envoyant un paquet IPv6 spécialement conçu (CVE-2013-4563).

Une vulnérabilité (CVSS Base = 5,4) affectant les équipements Cisco ASA a été découverte : si la fonctionnalité NAT64 ou NAT66 est utilisée, l’envoi d’un paquet spécialement conçu peut faire crasher l’équipement (CVE-2013-4563).

Une vulnérabilité (CVSS Base = 6,1) affectant Cisco NX-OS a été découverte : l’envoi de plusieurs messages NS spécialement conçu peut créer une situation de déni de service en empêchant l’équipement de répondre aux messages NS légitimes (CVE-2013-6683).