[lacnog] CVE-2018-19298 Mikrotik Neighbor Discovery Protocol memory exhaustion

Fernando Gont fgont en si6networks.com
Lun Abr 8 09:38:47 -03 2019


Aclaracion: Lo que no tiene sentido es hablar sobre la seguridad del
protocolo en si (intrinsicamente) -- lease, a nivel especificacion...
POrque, por ejemplo, una buena cantidad de cosas, tales como DoS basados
en overflows, evasion de controles de seguridad, etc., dependen en
ultimo caso de la implementacion.

Lo que *si* tiene sentido es evaluar la seguridad de los despliegues
resultantes.

En lineas generales IPv6 es una tecnologia mas compleja y menos madura,
sobre la que se tiene menor experiencia, por lo cual los despliegues
terminan siendo en general menos seguros.

Al desplegar IPv6 como double-stack, obviamente tambien se incrementa la
superficie de ataque.

Luego, si esto afecta a la decision de desplegarlo o no, depende del
contexto. En casos generales, como por ejemplo el de un ISP, en general
esto no es un factor que deba afectar la decision.

En otro tipo de escenarios, la cuestion puede ser diferente. -- el caso
extremo siendo, por ejemplo, una red de operaciones militares.


Respecto a la gente... la verdad es que pese a que me resultan molestas
las aseveraciones arbitrarias sin demasiado argumento, en un orden mas
general creo que me preocupa mucho mas las boludeces que la gente habla
y/o cree sobre otros temas, que lo que pueda hablar sobre IPv6 o sobre
cualquier otra tecnologia de red.

(Ej., fresquita de hace dias, en el contexto de una conversacion sobre
Golan Heights: "sovereignity is an outdated concept") :-) . Las redes
sociales solo no han hecho otra cosa que exacerbar la situacion,
amplificando la capacidad de los humanos para hablar boludeces. :-)

Fernando




On 4/4/19 01:59, Carlos Marcelo Martinez Cagnazzo wrote:
> Comparto que no tiene sentido. Sin embargo la gente lo hace igual.  
> 
> via Newton Mail
> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.14&pv=12.1.4&source=email_footer_2>
> 
> On Wed, Apr 3, 2019 at 8:44 PM, Fernando Gont <fgont en si6networks.com> wrote:
> 
>     Hablar de "IPv6 es inseguro" no tiene mucho sentido (mi elaboracion
>     sobre el tema, en la Pregunta 1.1, aqui:
>     https://www.internetsociety.org/deploy360/ipv6/security/faq/).
> 
>     Bugs en implementaciones se han encontrado muchos:
>     https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ipv6 . Muchas
>     implementaciones han tenido DoS basados en paquetes fragmentados, etc.
>     -- es decir, se ha repetido la historia de IPv4 (en materia de
>     implementaciones). Sin ir mas lejos, el problema de NCE al que hace
>     referencia este CVE ha afectado a *muchisimos* vendors. Hay hasta RFCs
>     sobre el tema (!).
> 
>     Sin embargo, aquellos que hemos realizado pruebas sobre este tipo de
>     cuestiones, hemos abandonado la practica de reportar cosas a vendors --
>     simplemente nos ha resultado una perdida de tiempo (ver diapos 14-22 de
>     https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf
>     para
>     algunos ejemplos). Por eso hay muchas para las cuales no vas a encontrar
>     CVE ni "vulnerability advisory".
> 
>     Eso en lo que respecta a problemas de implementacion. En lo que respecta
>     a problemas de *diseño*, los parches han sido escencialmente el trabajo
>     que he realizado yo en los ultimos diez años en IETF.
> 
> 
>     Lo de arriba no es ni novedad ni para espantarse:
> 
>     * Los vendors no implementan las cosas de manera cuidadosa
> 
>     * No se han aprendido las lecciones de la implementacion de IPv4
> 
>     * El unico analisis exhaustivo de seguridad de IPv6 que conozco que se
>     ha hecho es el que hice yo hace años para CPNI (que no se publico, pero
>     que llevo a la publicacion de todos los RFCs que hice sobre IPv6). Dado
>     que el diseño de IPv6 NO se hizo con seguridad en mente, era bastante
>     obvio que cuando alguien mirara un poco en detalle, iba a encontrar
>     cosas para arreglar.
> 
> 
>     Y la historia seguramente hubiera sido la misma para cualquier otro
>     protocolo que se hubiera diseñado hace mas de 20 años (!). Ya que los
>     problemas de fondo son siempre los mismos.
> 
> 
> 
> 
> 
>     On 4/4/19 01:13, Carlos Marcelo Martinez Cagnazzo wrote:
>     > En 20 años de escuchar hablar a la gente de que inseguro puede ser el
>     > IPv6, este es el primer bug que veo que realmente parece serio y
>     > explotable con relativa facilidad.
>     >
>     > Afecta a *un fabricante* y ya hay parche, al menos en beta. Acabo de
>     > actualizar los dos Mikrotiks que tengo en casa.
>     >
>     > IPv4 tenía bastantes, pero bastantes más bugs que estos.
>     >
>     > via Newton Mail
>     >
>     <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.14&pv=12.1.4&source=email_footer_2>
>     >
>     > On Wed, Apr 3, 2019 at 8:04 PM, Uesley Correa <uesleycorrea en gmail.com>
>     > wrote:
>     >
>     > Fernando,
>     >
>     > Me gustaría vivir en ese mundo. En el mundo que yo vivo, hay muchos
>     > con problemas de nat ( proveedores con decenas de millares de
>     > abonados y un /22 nomás disponible ) y necesitan si o si de su
>     > despliegue. Y que tardaron a eso y están a sufrir pérdida de
>     > clientes. Mantengo mi opinión: en ningún momento yo dice que el IPv6
>     > es más seguro, sino que si desde hace 10 años o más tuviéramos
>     > empezado el trabajo de despliegue ( que no necesitaría de muchas de
>     > las técnicas de transición de hoy y todo más ) hoy el IPv6 ya sería
>     > un protocolo todavía más conocido y común (tanto en tema de
>     > problemas y soluciones). Y si no son los operadores los culpables de
>     > eso, yo no sé quién son.
>     >
>     > Saludos!
>     >
>     > On Wed, Apr 3, 2019, 18:36 Fernando Gont <fgont en si6networks.com
>     > <mailto:fgont en si6networks.com>> wrote:
>     >
>     > On 1/4/19 16:22, Fernando Frediani wrote:
>     > > Buen email Ariel
>     > > Como ya se ha dicho en otros lugares, lamentablemente algunas
>     > personas
>     > > todavía tratan IPv6 como algo accesorio.
>     >
>     > Ver slides 14-22 de
>     >
>     https://www.gont.com.ar/talks/lacnog2011/fgont-lacnog2011-nd-security.pdf
>     > -- de hace ocho años.
>     >
>     > --
>     > Fernando Gont
>     > SI6 Networks
>     > e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>     > PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>     >
>     >
>     >
>     >
>     > _______________________________________________
>     > LACNOG mailing list
>     > LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>     > https://mail.lacnic.net/mailman/listinfo/lacnog
>     > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>     >
>     >
>     > _______________________________________________ LACNOG mailing list
>     > LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
>     > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>     >
>     >
>     > _______________________________________________
>     > LACNOG mailing list
>     > LACNOG en lacnic.net
>     > https://mail.lacnic.net/mailman/listinfo/lacnog
>     > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>     >
> 
> 
>     -- 
>     Fernando Gont
>     SI6 Networks
>     e-mail: fgont en si6networks.com
>     PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492






Más información sobre la lista de distribución LACNOG