Hacking IPv6 III – IPv6 Spoofing en túneles 6in4
-
------------------------------------------------------------------------
# Hacking IPv6 I - Breve introducción al protocolo IPv6
# Hacking IPv6 II - Interceptación de tráfico mediante envenenamiento de caché (MITM) - (1ª parte)
# Hacking IPv6 III - IPv6 Spoofing en túneles 6in4
# Hacking IPv6 IV - Redirección de tráfico IPv6 mediante el uso de mensajes Router Advertisment(RA)
# Hacking IPv6 V- DoS mediante mensajes Neighbor Solicitation (NS)
# Hacking IPv6 VI - Conclusiones
------------------------------------------------------------------------
Aquellos que sigáis este blog desde hace tiempo, os habréis dado cuenta de que ha habido un cambio respecto a la planificación esperada para la entrega III de esta serie. La razón es simple, tratar de aportar algo que fuera nuevo y más interesante que lo planificado.
En esta entrega vamos a exponer la materialización de un riesgo real actual en Internet relacionado con los túneles IPv6. Concretamente, hemos detectado que algunos de los principales proveedores de túneles 6in4 no controlan adecuadamente el filtrado IPv6 origen en los accesos que aprovisionan a sus clientes. Esta situación genera un nuevo riesgo ya que facilita la ejecución de ataques que requieran de suplantación de dirección IP origen.
Para situar al lector brevemente sobre los riesgos que implica no controlar el IP spoofing en los accesos a Internet, a continuación se muestra una breve lista de ataques que se aprovechan de este riesgo:
SYN flooding desde direcciones IP falseadas.
Connection hijacking averiguando el número de secuencia TCP
Bypass firewall
IDLE scan
Smurf attack
DNS Cache Poisoning
...
Este estudio se limita a un tipo en concreto de túneles IPv6, el 6in4. Estos túneles proveen un acceso IPv6 a Internet desde un acceso común IPv4. Estos accesos suelen ser gratuitos y algunos incluso permiten sesiones anónimas.
Este tipo de túneles puede acabar siendo un quebradero de cabeza desde el punto de vista de la seguridad en distintos ámbitos de Internet.
Los colaboradores de Iniqua han realizado un breve estudio sobre los tres principales proveedores de túneles IPv6 actuales. El resultado de este estudio fue que en ninguno de los tres casos se controlaba adecuadamente el filtrado IP en origen y, por tanto, permitían inyectar tráfico desde sus accesos de cliente con dirección IPv6 origen falsificada.
Las siguientes imágenes muestran evidencias de los resultados positivos obtenidos en cada uno de los tres operadores probados. Primero se envían paquetes ICMPv6 de tipo "Echo Request" con la dirección IP origen legítima a otra máquina controlada por el equipo de pruebas, a continuación se envían paquetes del mismo tipo pero con una dirección IP origen falseada.
- IP Spoofing desde un acceso de cliente del proveedor de túneles A:
Dirección IPv6 origen legítima: 2a01:d0:ffff:141::2
Dirección IPv6 origen falseada: 2001:2222:3333:4444:5555:6666:7777:8888 (dirección inventada)
- IP Spoofing desde un acceso de cliente del proveedor de túneles B:
Dirección IPv6 origen legítima: 2001:470:1f08:1812::55
Dirección IPv6 origen falseada: 2a00:1450:4001:c01::67 (dirección de ipv6.google.com)
En este caso, se puede observar la respuesta con un paquete ICMPv6 de tipo "Destination Unreachable". Esto se debe a que se recibió un paquete ICMPv6 Echo Reply no esperado.
- IP Spoofing desde un acceso de cliente del proveedor de túneles C:
Dirección IPv6 origen legítima: 2001:5c:0:1400:a:8000:0:580:3aa
Dirección IPv6 origen falseada: 2a00:1450:4001:c01::93 (dirección de ipv6.google.com)
En este ejemplo, también se puede observar los paquetes de respuesta de tipo ICMPv6 de tipo "Destination Unreachable".
Con esta publicación, solamente hemos tratado de mostrar de forma práctica un riesgo real de seguridad relacionado la llegada de IPv6. No supone ninguna vulnerabilidad nueva ni nada relacionado directamente con el protocolo IPv6. Sin embargo, sí encontramos interesante destacar que la llegada de IPv6 está suponiendo y supondrá una serie de cambios tecnológicos que deben ser abordados adecuadamente desde el punto de vista de la seguridad.
Previamente a la publicación de esta entrada, el equipo de Iniqua ha estado en contacto con los tres proveedores de túneles estudiados para informar de la situación detectada. En algún caso, el proveedor era consciente de la situación pero por dificultades técnicas transitorias no podían aplicar el filtrado correspondiente.
Si algún otro proveedor de túneles estuviera interesado en conocer el estado de sus accesos de cliente, el equipo de Iniqua está dispuesto repetir esta prueba y colaborar para ayudar a evaluar la seguridad de cualquier acceso IPv6 a Internet.
Conlusión:
La implantación de IPv6 supone una serie de retos de seguridad que deben ser abordados cuanto antes para planificar e implantar medidas de seguridad apropiadas.
GoLISMERO: Simplificando las auditorías web
Recientemente hemos liberado una nueva herramienta para facilitar la vida del auditor de seguridad web: GoLISMERO. Para aquellos que se lo pregunten: Sí, el nombre es el resultado de una mala noche de insomnio.
¿Qué es GoLISMERO?
GoLISMERO es un spider web capaz de detectar vulnerabilidades y formatear los resultados de forma muy útil cuando se afronta una auditoría web. Podéis descargalo desde aquí: https://code.google.com/p/golismero/
¿Para qué sirve?
GoLISMERO está pensado para ser un primer paso cuando comenzamos una auditoría de seguridad web.
Cada vez que nos enfrentamos a una nueva URL, ¿no sería genial poder disponer de forma sencilla y rápida de todos los enlaces, formularios con sus parámetros, detectar posibles URL vulnerables y que además de que se presentasen de manera que nos permita hacernos una idea de la todos los puntos de entrada donde podríamos lanzar ataques? GoLISMERO nos permite hacer todo esto.
Aprendiendo con ejemplos
A continuación se exponen diversos ejemplos y casos prácticos, que son la mejor forma de aprender a usar una herramienta de seguridad:
-
Extraer todos los enlaces y formularios de una web, con todos sus parámetros, en formato extendido:
GoLISMERO.py –t google.com
Hacking IPv6 II – Interceptación de tráfico mediante envenenamiento de caché (MITM) – (1ª parte)
Ésta es la segunda entrada de una serie de artículos que tratan de ser un estudio práctico sobre ataques de Hacking en entornos LAN sobre el protocolo IPv6.
------------------------------------------------------------------------ # Hacking IPv6 I - Breve introducción al protocolo IPv6 # Hacking IPv6 II - Interceptación de tráfico mediante envenenamiento de caché (MITM) - (1ª parte) # Hacking IPv6 III - Interceptación de tráfico mediante envenenamiento de caché (MITM) - (2ª parte) # Hacking IPv6 IV - Redirección de tráfico IPv6 mediante el uso de mensajes Router Advertisment(RA) # Hacking IPv6 V- DoS mediante mensajes Neighbor Solicitation (NS) # Hacking IPv6 VI - Conclusiones ------------------------------------------------------------------------En el primer artículo de la serie estuvimos viendo algunos conceptos básicos sobre el protocolo IPv6, necesarios para entender el resto de entregas.
Recordemos que estos artículos no pretenden ser un estudio en profundidad sobre ataques en entornos IPv6. Simplemente intentan ser un primer acercamiento a este nuevo protocolo que todavía resulta ser un gran desconocido para mucha gente. El enfoque de estos artículos es principalmente didáctico para ayudar a entender y aclarar algunos conceptos sobre IPv6.
En este artículo entraremos de lleno sobre el primero de los ataques que veremos a lo largo de las distintas entregas. Este ataque consiste en un ataque de envenenamiento de caché mediante mensajes ICMPv6.
IPv6 es un protocolo de capa 3 del modelo OSI que llegó hace algún tiempo y se presenta como la alternativa a IPv4. En entornos IPv4, cualquier dispositivo que se conecte una red Ethernet, y que desee comunicarse con otro dispositivo de la red, necesita conocer al menos, su dirección de capa de enlace (o dirección MAC).
Los ataques de envenenamiento de caché, consisten en hacer creer a una víctima que la dirección de capa de enlace de un determinado dispositivo de la red, es otra distinta de la que realmente es. El ataque más conocido es el ataque MITM, que conlleva que un atacante pueda interceptar las comunicaciones entre dos dispositivos.
En IPv4, los ataques MITM se realizan mediante mensajes ARP especialmente manipulados. En IPv6, estos ataques se realizan empleando mensajes ICMPv6.
Veamos cómo utilizar ICMPv6 para la ejecución de estos ataques. En condiciones normales, cuando un dispositivo A desea comunicarse con otro dispositivo B, lo primero que debe hacer A es enviar a la red (a una determinada dirección multicast), un mensaje ICMPv6 de tipo "Neighbor Solicitation" preguntando por dirección MAC de B. Acto seguido, B contestará con un mensaje "Neighbor Advertisment" incluyendo en su contenido su dirección MAC de capa de enlace. El dispositivo A guardará en su propia caché esta información durante un tiempo, y la utilizará para construir en adelante los paquetes en Capa 2 que vayan dirigidos a B.
Los ataques de tipo MITM en entornos IPv6, se basan en enviar cada cierto tiempo mensajes de tipo "Nieghbor Advertisment" con información especialmente manipulada hacia las víctimas. El fin último del envío de estos mensajes, es introducir información maliciosa en la caché de las víctimas. De esta forma, las víctimas enviarán sin saberlo el tráfico hacia el atacante.
Después de esta breve introducción teórica sobre los ataques de envenenamiento de caché, pasemos a la parte práctica.
- El entorno sobre el que realizaremos el ataque es el siguiente.
[Tool] Herramienta OpenSource recuperación contraseñas Excel
Desde hace unas semanas podéis encontrar en google code una nueva herramienta para recuperar aquellas contraseñas que olvidasteis de vuestros archivos Excel, que desde Iniqua os ofrecemos.
Como todos podéis saber, si hacéis una sencilla búsqueda en google, es que hay muchas herramientas que hacen esto mismo, la diferencia es que son de código cerrado, a diferencia del código abierto la herramienta, que recibe el nombre de: ReMeMEP (Remember Me My Excel Password).
El algoritmo todavía no es demasiado óptimo, pero el proyecto está abierto a cualquier aportación para mejorarlo o cualquier otro tipo de añadido. Como punto a favor de esta herramienta podemos decir que es extremadamente sencillo de usar, sin interfaces farragosas. Solamente seleccionas el fichero y se pone a buscar contraseñas hasta que la encuentra, por fuerza bruta. Aquí os dejamos un par de capturas sobre la aplicación:
Figura 1 - Pantalla principal.
Figura 2 - Formulario de búsqueda en acción.
El enlace al proyecto en google code lo podéis encontrar aquí: http://code.google.com/p/rememep/