[lacnog] CVE-2018-19298 Mikrotik Neighbor Discovery Protocol memory exhaustion

Fernando Gont fgont en si6networks.com
Mie Abr 3 20:44:53 -03 2019


Hablar de "IPv6 es inseguro" no tiene mucho sentido (mi elaboracion
sobre el tema, en la Pregunta 1.1, aqui:
https://www.internetsociety.org/deploy360/ipv6/security/faq/).

Bugs en implementaciones se han encontrado muchos:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ipv6  . Muchas
implementaciones han tenido DoS basados en paquetes fragmentados, etc.
-- es decir, se ha repetido la historia de IPv4 (en materia de
implementaciones). Sin ir mas lejos, el problema de NCE al que hace
referencia este CVE ha afectado a *muchisimos* vendors. Hay hasta RFCs
sobre el tema (!).

Sin embargo, aquellos que hemos realizado pruebas sobre este tipo de
cuestiones, hemos abandonado la practica de reportar cosas a vendors --
simplemente nos ha resultado una perdida de tiempo (ver diapos 14-22 de
https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf para
algunos ejemplos). Por eso hay muchas para las cuales no vas a encontrar
CVE ni "vulnerability advisory".

Eso en lo que respecta a problemas de implementacion. En lo que respecta
a problemas de *diseño*, los parches han sido escencialmente el trabajo
que he realizado yo en los ultimos diez años en IETF.


Lo de arriba no es ni novedad ni para espantarse:

* Los vendors no implementan las cosas de manera cuidadosa

* No se han aprendido las lecciones de la implementacion de IPv4

* El unico analisis exhaustivo de seguridad de IPv6 que conozco que se
ha hecho es el que hice yo hace años para CPNI (que no se publico, pero
que llevo a la publicacion de todos los RFCs que hice sobre IPv6). Dado
que el diseño de IPv6 NO se hizo con seguridad en mente, era bastante
obvio que cuando alguien mirara un poco en detalle, iba a encontrar
cosas para arreglar.


Y la historia seguramente hubiera sido la misma para cualquier otro
protocolo que se hubiera diseñado hace mas de 20 años (!). Ya que los
problemas de fondo son siempre los mismos.





On 4/4/19 01:13, Carlos Marcelo Martinez Cagnazzo wrote:
> En 20 años de escuchar hablar a la gente de que inseguro puede ser el
> IPv6, este es el primer bug que veo que realmente parece serio y
> explotable con relativa facilidad.  
> 
> Afecta a *un fabricante* y ya hay parche, al menos en beta. Acabo de
> actualizar los dos Mikrotiks que tengo en casa. 
> 
> IPv4 tenía bastantes, pero bastantes más bugs que estos. 
> 
> via Newton Mail
> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.14&pv=12.1.4&source=email_footer_2>
> 
> On Wed, Apr 3, 2019 at 8:04 PM, Uesley Correa <uesleycorrea en gmail.com>
> wrote:
> 
>     Fernando,
> 
>     Me gustaría vivir en ese mundo. En el mundo que yo vivo, hay muchos
>     con problemas de nat ( proveedores con decenas de millares de
>     abonados y un /22 nomás disponible ) y necesitan si o si de su
>     despliegue. Y que tardaron a eso y están a sufrir pérdida de
>     clientes. Mantengo mi opinión: en ningún momento yo dice que el IPv6
>     es más seguro, sino que si desde hace 10 años o más tuviéramos
>     empezado el trabajo de despliegue ( que no necesitaría de muchas de
>     las técnicas de transición de hoy y todo más ) hoy el IPv6 ya sería
>     un protocolo todavía más conocido y común (tanto en tema de
>     problemas y soluciones). Y si no son los operadores los culpables de
>     eso, yo no sé quién son.
> 
>     Saludos!
> 
>     On Wed, Apr 3, 2019, 18:36 Fernando Gont <fgont en si6networks.com
>     <mailto:fgont en si6networks.com>> wrote:
> 
>         On 1/4/19 16:22, Fernando Frediani wrote:
>         > Buen email Ariel
>         > Como ya se ha dicho en otros lugares, lamentablemente algunas
>         personas
>         > todavía tratan IPv6 como algo accesorio.
> 
>         Ver slides 14-22 de
>         https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf
>         -- de hace ocho años.
> 
>         -- 
>         Fernando Gont
>         SI6 Networks
>         e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>         PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
>         _______________________________________________
>         LACNOG mailing list
>         LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>         https://mail.lacnic.net/mailman/listinfo/lacnog
>         Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> 
>     _______________________________________________ LACNOG mailing list
>     LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG