(English)

“Donde no esperaban”: cómo IPv6 puede comprometer las redes

May 16, 2022
IPv6
“Donde no esperaban”: cómo IPv6 puede comprometer las redes
Todo se debe al estándar EUI-64. Ha pasado a la categoría de legado, pero todavía lo usan los desarrolladores de dispositivos IoT (y no solo). Hablemos de lo que está pasando aquí.

Obstáculos en el camino

Como sabe, la introducción de IPv6 es bastante lenta: aproximadamente el 21% de los sitios admiten trabajar con él. Los expertos esperan que la migración masiva al protocolo de próxima generación ocurra no antes de diez años. Hay varias razones para esto: son dificultades técnicas y financieras, así como la presencia de NAT, que «suaviza» la escasez de direcciones IPv4. Sin embargo, el proceso también se ve frenado por momentos relacionados con la seguridad de la información.

El lanzamiento oficial de IPv6 tuvo lugar hace casi diez años, pero los ingenieros siguen encontrando vulnerabilidades en la pila técnica. Entonces, en 2020, se descubrió un error relacionado con ICMPv6, que utiliza el mecanismo de anuncio de enrutador (CVE-2020-16898).

Esta vulnerabilidad permitió a los atacantes ejecutar código malicioso en una máquina comprometida.

Uno de los problemas más recientes fue identificado por especialistas del Instituto de Informática de la Sociedad Max Planck a finales de marzo. Según su informe, los dispositivos que utilizan el mecanismo EUI-64 para generar un identificador de interfaz (la segunda parte de una dirección IPv6) comprometen la red en la que se encuentran.

?Como ocurrió esto?

Existe un mecanismo SLAAC que permite que un dispositivo obtenga información de prefijo de un enrutador sin la ayuda de un protocolo para configurar hosts DHCPv6. Esta información y el identificador de interfaz (IID) de 64 bits son necesarios para obtener una dirección de red IPv6 única.

Una forma de generar un IID único es generarlo en función de la dirección MAC del dispositivo (mecanismo EUI-64). Pero este enfoque ahora se considera no solo poco confiable, sino incluso peligroso, ya que revela el identificador de hardware a nivel de red. Por lo tanto, la comunidad ha desarrollado extensiones especiales para la pila IPv6, por ejemplo, descritas en RFC4941, que «aleatorizan» la parte de la dirección elegida por el host. Al mismo tiempo, los ISP están falsificando prefijos de direcciones para mayor protección.

server details

Pero, desafortunadamente, varios desarrolladores de hardware, en su mayoría dispositivos IoT, todavía usan EUI-64 «puro» para generar IID. Con él, los atacantes pueden determinar el fabricante de un dispositivo de red (y, como resultado, las posibles vulnerabilidades), así como monitorear otros dispositivos en la red utilizando el mismo IID.

Según los ingenieros de investigación, alrededor del 19% de todos los prefijos en las redes de los principales proveedores de servicios de Internet del mundo están afectados por esta vulnerabilidad.

Cómo resolver el problema

En general, la solución al problema recae sobre los hombros de los desarrolladores de hardware y software: deben prestar atención a la seguridad de la información de los dispositivos y habilitar los mecanismos de protección disponibles de forma predeterminada.

Según los expertos, el problema también se puede resolver a nivel gubernamental si los reguladores exigen que los proveedores certifiquen los productos para cumplir con los estándares que permiten cerrar las vulnerabilidades EUI-64. Al mismo tiempo, los ISP pueden probar los enrutadores antes de entregárselos a sus clientes.

Utilizamos cookies para optimizar la funcionalidad del sitio y ofrecerle la mejor experiencia posible. Para saber más sobre las cookies que utilizamos, visite nuestra Política de Cookies. Al hacer clic en "Aceptar", aceptas el uso que hacemos de las cookies. Más información