"De onde você não esperava": como o IPv6 pode comprometer as redes

May 16, 2022
IPv6
"De onde você não esperava": como o IPv6 pode comprometer as redes
A culpa é do padrão EUI-64. Ele se tornou uma categoria legada, mas ainda é usado por desenvolvedores de dispositivos de IoT (mas não se limita a eles). Explicamos qual é o problema aqui.

Obstáculos no caminho

É um fato comum que a implementação do IPv6 é bastante lenta – cerca de 21% dos sites suportam o trabalho com ele. Os especialistas esperam que a migração em massa para um protocolo de nova geração não ocorra antes de dez anos. Há vários motivos para isso: dificuldades técnicas e financeiras, bem como a presença do NAT, que “suaviza” a escassez de endereços IPv4. No entanto, o processo também é prejudicado por questões relacionadas à segurança das informações.

O lançamento oficial do IPv6 ocorreu há quase dez anos, mas os engenheiros ainda estão encontrando vulnerabilidades na pilha técnica. Assim, em 2020, foi descoberto um bug relacionado ao ICMPv6, que usa o mecanismo de declaração do roteador (CVE-2020-16898).

Essa vulnerabilidade permitiu que os invasores executassem códigos maliciosos em um computador comprometido.

Um dos problemas mais recentes foi identificado por especialistas do Max Planck Institute of Informatics no final de março. De acordo com seu relatório, os dispositivos que usam o mecanismo EUI-64 para gerar o identificador de interface (a segunda parte do endereço IPv6) comprometem a operação da rede em que estão localizados.

Como isso aconteceu?

Existe um mecanismo SLAAC que permite que o dispositivo obtenha informações de prefixo do roteador sem a ajuda de um protocolo de configuração de nós DHCPv6. Essas informações e o identificador de interface (IID) de 64 bits são necessários para obter um endereço de rede IPv6 individual.

Uma maneira de gerar um IID exclusivo é gerá-lo com base no endereço MAC do dispositivo (mecanismo EUI-64). No entanto, atualmente, essa abordagem é considerada não apenas não confiável, mas até mesmo perigosa, pois revela o identificador de hardware no nível da rede. Portanto, a comunidade desenvolveu extensões especiais para a pilha IPv6, por exemplo, descritas em RFC4941, que “randomizam” a parte do endereço selecionada pelo host. Ao mesmo tempo, os provedores de serviços de Internet substituem os prefixos de endereço para proteção adicional.

server details

Mas, infelizmente, vários desenvolvedores de hardware (em sua maioria, dispositivos da Internet das Coisas) ainda usam o EUI-64 “puro” para gerar o IID. Com sua ajuda, os invasores podem identificar o fabricante do dispositivo de rede (e, como resultado, possíveis vulnerabilidades), bem como monitorar outros dispositivos na rede usando um IID semelhante.

De acordo com engenheiros de pesquisa, cerca de 19% de todos os prefixos nas redes dos principais provedores globais de serviços de Internet estão expostos a essa vulnerabilidade.

O que deve ser feito

Em geral, a solução para o problema recai sobre os desenvolvedores de hardware e software – eles devem prestar atenção à segurança das informações dos dispositivos e ativar os mecanismos de segurança disponíveis por padrão.

De acordo com os especialistas, a questão também pode ser resolvida em nível governamental, se os órgãos reguladores exigirem que os fornecedores certifiquem os produtos quanto à conformidade com os padrões que permitem fechar as vulnerabilidades da EUI-64. Ao mesmo tempo, os provedores de serviços de Internet podem verificar os roteadores antes de entregá-los aos seus clientes.

(English) We use cookies to optimize site functionality and give you the best possible experience. To learn more about the cookies we use, please visit our Cookies Policy. By clicking ‘Okay’, you agree to our use of cookies. Learn more.