Juniper a Microsoft vyzýváni k urychlené opravě IPv6

4. 5. 2011

Sdílet

Bezpečnostní experti vyzvali Juniper a Microsoft, aby rychle opravily už asi rok známý problém v implementaci protokolu IPv6.

Microsoft problém spíše bagatelizuje a uvádí, že k úspěšnému útoku je třeba mít fyzický přístup do sítě LAN. Pokud ho ale útočník má, pak může během několika minut vyřadit všechny počítače v síti z provozu (druh akce je denial of service). Juniper zase tvrdí, že zranitelnost se týká jen malého množství jeho produktů a namísto opravy by bylo lepší změnit standard protokolu IPv6 u organizace IETF (Internet Engineering Task Force).

Chybu objevil loni v létě německý bezpečnostní konzultant Marc Heuse. Byla zjištěna ve všech verzích Windows, jádru Linuxu, směrovačích Cisco i Juniper. Na podzim vydalo záplatu Cisco a opraven byl i kernel Linuxu, produkty Microsoftu a Juniper ale zůstávají zranitelné.

Problém se týká způsobu, jak směrovače komunikují přes protokol IPv6 s klientskými počítači. Router může svými pakety zcela zahltit operační systém a ten přestane reagovat. Je nutný tvrdý restart počítače. Osobní firewall ve Windows ani jiné podobné produkty před tímto útokem neochrání, protože ve výchozím nastavení filtr takovéto pakety nefiltruje. Zranitelnost se projevuje pouze v pevných sítích LAN, bezdrátová architektura je v tomto ohledu odolná.

Je pravda, že k realizaci postupu si útočník musí k síti připojit svůj vlastní router. Marc Heuse ovšem kritizuje Microsoft za nečinnost a tvrdí, že problém by šel odstranit velmi snadno. V roce 2008 už totiž Microsoft jednu opravu tohoto typu vyvinul, pouze s tím rozdílem, že odstraňovala útok DoS v sítích s IPv4.

Objevují se i spekulace, že k útoku není třeba použít směrovač, ale lze spustit i po připojení PlayStation nebo Xboxu k síti LAN.

ICTS24

Jednou z možností obrany je až do vydání opravy vypnout v síti podporu IPv6. Na firewallu lze nastavit tento typ komunikace pouze pro povolená zařízení (white list), což by mělo znemožnit připojení nového útočníkova zařízení do sítě. Jako další možnost uvádí americký Computerworld vypnout funkce rozpoznávání routeru.