Уязвимость в продуктах Cisco — эксплуатация может привести к отказу в передаче всего ipv6-трафика / forpes.ru

Главная
Уязвимость в продуктах Cisco — эксплуатация может привести к отказу в передаче всего ipv6-трафика

Уязвимость в продуктах Cisco — эксплуатация может привести к отказу в передаче всего ipv6-трафика +9

02.06.2016 13:18

Karroplan 11 4500 Источник

Cisco опубликовала отчет о найденой уязвимости в реализации ipv6 Neighbor Discovery protocol (ND). Злоумышленник с помощью спецально сформированного пакета может остановить передачу всего ipv6 трафика на атакуемом устройстве.

Отчет.

Уязвимости подвержены все продукты с IOS, NX-OS, IOS-XE, IOS-XR. На текущий момент нет никаких патчей или workarounds. Единственной защитой является полное фильтрование пакетов ND на потенциально уязвимых интерфейсах либо с помощью ACL либо внешним фаерволлом.

Весело!

Поделиться с друзьями

-->

Комментарии (11)

rughost
02.06.2016 16:45
#9640710
+3
А где сейчас ipv6 используется? Не холивара ради, правда интересно
1. Karroplan
  02.06.2016 16:47
  #9640718
  да много где ) в странах юго-восточной Азии активно используется ipv6 в качестве обычного протокола для подключения клиентов к isp
1. ValdikSS
  02.06.2016 18:17
  #9640896
  -1
  Если технически отвечать на вопрос, то везде. Посмотрите на сетевой интерфейс вашего компьютера, наверняка у него есть Link-Local адрес.
  
  Cisco уязвима в пределах L2, как я понимаю?
  1. RicoX
    02.06.2016 22:18
    #9641194
    +1
    Да это L2 протокол, причем у NDP не задалось с безопасностью на многих маршрутизаторах (подробней тут с 77 стр.), во многих случаях помогал включенный RA Guard. По текущей уязвимости очень мало информации, но насколько я понял уязвимость связана с большим количеством ресурсов маршрутизатора, которые тратятся на обработку пакетов от «новых» соседей и атака имеет вид DoS флуда, когда атакующий узел посылает большое количество специально сгенерированных пакетов на установку соседства с атакуемым маршрутизатором, чем быстро исчерпывает ресурсы. Вообще выпускать менеджмент протоколы за рамки управляющего защищенного вилана плохой тон.
    
    wmns
    04.06.2016 20:18
    #9643508
    На самом деле L3. RFC 4861
1. inkvizitor68sl
  02.06.2016 19:49
  #9641018
  http://www.worldipv6launch.org/participants/?q=1
  
  В гугл 10% трафика приходит по ipv6.
  
  Из крупных российских — яндекс, мейлру, вк.

satandyh
02.06.2016 22:10
#9641182
+1
This vulnerability is not Cisco specific: any IPv6 processing unit not capable of dropping such packets early in the processing path or in hardware is affected by this vulnerability.

Хмм… сия запись говорит, что можно использовать эту уязвимость не только на Cisco? Двойное хммм… тогда может это все же уязвимость протокола?
1. Karroplan
  02.06.2016 22:11
  #9641184
  такие опасения существуют, но пока ни Juniper ни кто-то еще из производителей не выпустили своих комментариев, так что не будем делать преждевременной сенсации )чс
  1. satandyh
    02.06.2016 22:33
    #9641208
    Соглашусь. Но вот потестить после этой «радужной» новости железки ручки тянутся.
    
    Karroplan
    02.06.2016 23:36
    #9641276
    ну дык поставьте виртуальные версии — iosv/ios xrv, juniper mxv или vsrx и пробуйте )
  1. navion
    08.06.2016 09:42
    #9647712
    Juniper тоже.