Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/04/2011
SLAAC attack: el "hombre en el medio" de IPv6
Investigadores descubren una nueva forma de robar el tráfico de una red interna gracias a funcionalidad por defecto en algunos de los sistemas operativos actuales.
Investigadores de InfoSec Institute han descubierto una nueva forma de robar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X. Se trata de una especie de hombre en el medio, pero mucho más sencillo que las técnicas habituales en IPv4 (por ejemplo arp-spoofing). Al ataque se le ha llamado SLAAC, pero no se trata de un 0-day, como proclaman.
Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Envenenar la caché ARP de los sistemas es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue el un efecto parecido pero de forma más "limpia".
En qué consiste
El atacante debe introducir un router, o algún dispositivo que actúe como tal, en la red interna con dos interfaces: una que soporte solamente IPv6 y otra solamente IPv4. En esos momentos existirá una red adicional IPv6, pero el atacante todavía no controlará el tráfico. Con el uso del protocolo NAT-PT, que fue una primera aproximación a la traducción directa entre direcciones IPv4 y IPv6 para conseguir conectividad entre los dos tipos de redes, pero cuyo desarrollo fue abandonado en 2007, se puede conseguir una réplica de la red IPv4 sobre el protocolo IPv6. Esto, junto con el hecho de que los sistemas operativos modernos prefieren utilizar IPv6 siempre que se encuentre disponible, hace que se consume el ataque.
En resumen, la víctima utiliza la red del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.
Por qué ocurre
Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y MacOS X, preferirán usar IPv6 en una red siempre que sea posible. IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".
Aunque en InfoSec proclamen que se trata de un 0-day, está lejos de la definición formal de ese concepto. Según ellos, se han puesto en contacto con Microsoft y comentan que valorarán el problema.
Ventajas e inconvenientes del ataque
Estos problemas con routers "rogue" ya son más que conocidos en entornos IPv4, e incluso en entornos IPv6 existe software para simularlo. Pero hasta ahora se tomaban más como una molestia que como un ataque. Esta prueba de concepto confirma un escenario y un método de "aprovechamiento" viable.
El ataque SLAAC tiene además una serie de ventajas. Por ejemplo, no es necesario alterar la red IPv4 de la víctima (ni la caché ARP de los equipos...), ni siquiera utilizar una dirección IP de esa red. Se aprovecha de forma limpia una funcionalidad (no un fallo) de los sistemas modernos: preferir IPv6 sobre IPv4.
El ataque también tiende a ser silencioso: la red IPv4 y por tanto, sus sistemas de defensa y monitorización "tradicionales", no son alterados.
Recomendaciones
Simplemente, como siempre, deshabilitar lo que no se utilice. En este caso, el soporte IPv6 desde las propiedades de red.
Se puede leer la noticia completa en Hispasec.