Опробована эффективная DoS-атака IPv6 RA пакетам

Опробована эффективная DoS-атака IPv6 RA пакетам

 Американский хакер Сэм Боун (Sam Bowne) опубликовал инструкцию по осуществлению более эффективной атаки типа IPv6 Router Advertisement. Эта атака осуществляется с помощью модулей flood_router6 и flood_router26 в наборе THC-IPv6, входит также в состав Backtrack.

THC-IPv6 использует врождённые слабости протоколов IPv6 и ICMP6, создавая серьёзную нагрузку на компьютере жертвы. Суть атаки заключается отправке множества Router Advertisement (RA) сообщений по локальной сети, что приводит к отказу в обслуживании на целевой системе. Атака эффективна против систем Windows и Macintosh, а также против других ОС. Демонстрацию атаки см. на видео.

В стандарте IPv6 сообщения Router Advertisement используются для передачи информации о настройках сети между устройствами IPv6. В сообщении может содержаться информация о сетевом префиксе, адресе шлюза, адресах рекурсивных DNS серверов, MTU и множестве других параметров. Эта информация передаётся в виде пакетов ICMP6, сообщает xakep.ru.

Сэм Боун смог значительно усовершенствовать программу flood_router26, так что теперь ICMP6-пакеты создают значительно бóльшую нагрузку на систему, чем раньше. В частности, последняя версия OS X падает в течение нескольких секунд, а Server 2012 перезагружается. Боун допускает, что эту атакую можно использовать для написания опасных эксплойтов, в том числе с удалённым исполнением кода.

Предыдущая версия flood_router6, представленная в прошлом году, чрезвычайно эффективна против компьютеров под Windows. С единственной машины можно вывести из строя десятки машин в локальной сети.

Защититься от подобных атак можно несколькими способами: или отключив IPv6, или отключив функцию Router Discovery.

netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled

Настройки файрвола или использование RA Guard не дают полной защиты.

Содержимое вредоносного ICMP6-пакета, одного из тех, которые генерирует модуль flood_router26, показано на двух скриншотах.

 

 

 

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Supermicro и Pulse Secure защитили свои продукты от атак TrickBoot

Компания Supermicro выпустила новую версию BIOS для материнских плат, уязвимых к атакам TrickBoot — буткит-модуля TrickBot, способного скомпрометировать систему на уровне BIOS / UEFI. Соответствующие патчи вышли также для защитных решений Pulse Secure Appliance (PSA), использующих эти материнки Supermicro.

Возможность получения доступа к записи BIOS / UEFI была добавлена в арсенал модульльного зловреда в прошлом году. Новая функциональность обеспечивает TrickBot стойкое присутствие в системе и позволяет удаленно внести изменения в прошивку или превратить зараженный компьютер в бесполезный кирпич.

Атаки TrickBoot опасны для машин с отключенной или неправильно настроенной защитой BIOS на запись. Применение нового модуля пока ограничено анализом прошивки устройств на чипсетах Intel.

Как оказалось, используемая TrickBoot проблема актуальна для материнских плат X10 UP производства Supermicro, созданных на базе платформы Intel Denlow. Наличие уязвимости подтверждено для следующих продуктов:

  • X10SLH-F
  • X10SLL-F
  • X10SLM-F
  • X10SLL+-F
  • X10SLM+-F
  • X10SLM+-LN4F
  • X10SLA-F
  • X10SL7-F
  • X10SLL-S/-SF

Степень опасности уязвимости Supermicro оценила как высокую (в 8,2 балла по CVSS). Пропатченная версия BIOS (3.4) доступна лишь пользователям X10SLH-F. Остальные модели из перечня давно сняты с поддержки; доступ к обновлению таких продуктов предоставляется по запросу.

Связанная с TrickBoot проблема затронула также два защитных решения Pulse Secure — PSA5000 и PSA7000. Патчи выпущены для платформ Pulse Connect Secure (позволяет организовать VPN-доступ к корпоративной сети) и Pulse Policy Secure (реализует функции контроллера доступа к сети). Обновление для Pulse One выйдет позже.

Степень опасности TrickBoot для продуктов Pulse Secure разработчики оценили как низкий (2,3 балла). После установки заплатки система автоматически перезагрузится.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru