Fehlerhafte IPv6-Implementierungen ermöglichen Man-in-the-Middle-Angriffe
Ein fehlerhaftes Verhalten beim Empfang von Neighbor Solicitation Requests im Rahmen des Neighbor-Discovery-Protokolls (NDP) führt zu einer Schwachstelle.
- Daniel Bachfeld
Das US-CERT hat auf eine Schwachstelle in der IPv6-Implementierung mehrerer Hersteller von Routern und Betriebssystemen hingewiesen, durch die Angreifer den Verkehr für Man-in-Middle-Attacken über sich umleiten oder Links überlasten können. Schuld ist ein fehlerhaftes Verhalten beim Empfang von Neighbor Solicitation Requests im Rahmen des Neighbor-Discovery-Protokolls (NDP). Über NDP finden Router andere IPv6-fähige Router auf einem Link.
Laut US-CERT legen einige Implementierungen bekannte IPv6-Adressen nicht nur im "Neighbor Cache" ab, sondern ergänzen zusätzlich die Forwarding Information Base (FIB) ohne weitere Prüfung auf die Korrektheit der Angaben. Damit kann ein Angreifer mit Neighbor Solicitation Requests und einer gespooften IPv6-Adresse die FIB so manipulieren, dass der Router anschließend den an die gespoofte IP-Adresse gerichteten Verkehr an seinen Rechner weiterleitet. Allerdings lässt sich die Schwachstelle laut Bericht nur im lokalen Netzwerk ausnutzen, da NDP-Nachrichten nicht geroutet werden.
Als verwundbar sind bislang nur die Implementierungen von OpenBSD, NetBSD, FreeBSD, IBM (zSeries), Juniper, Wind River und Force 10 bekannt. Eine komplette Liste der verwundbaren, nicht verwundbaren und bislang noch nicht eingestuften Implementierungen sind im Original-Bericht des US-CERT zu finden. FreeBSD und OpenBSD haben bereits Patches zur Beseitigung des Fehler vorgelegt.
Siehe dazu auch:
- IPv6 implementations insecurely update Forward Information Base, Bericht des US-CERT
(dab)
