[lacnog] CVE-2018-19298 Mikrotik Neighbor Discovery Protocol memory exhaustion

Mar Abr 9 22:15:46 -03 2019

FWIW, el ataque era (nomas) el que "adivine" abajo.

Las diapositivas están publicadas en:
https://indico.uknof.org.uk/event/46/contributions/667/attachments/890/1100/EMBARGO_UKNOF_43_APPROVED.pdf

Hace al menos unos 8 años que existe esto. De hecho, una de las cosas
que explico al cubrir "IPv6 network scanning" es justamente a limitar
los targets y hacer rate limit para evitar hacer DoS a la red -- ya
quien escanea necesita que la red siga "viva".

En sintesis, algo archirecontraconocido del mundo ipeuvezeish que de
seguro muchos otros vendors todavia no han solucionado.

Fernando

On 3/4/19 22:13, Fernando Gont wrote:
> Estimados,
> 
> $ git clone https://github.com/fgont/ipv6toolkit.git
> $ sudo make install clean
> $ sudo scan6 -d RED_VICTIMA::/64
> 
> 
> man scan6
> 
> para una explicacion, asi como también:
> https://www.si6networks.com/tools/ipv6toolkit/si6networks-ipv6-nd-assessment.pdf
> 
> Corta la bocha.
> 
> Saludos,
> Fernando
> 
> 
> 
> 
> On 1/4/19 16:22, Fernando Frediani wrote:
>> Buen email Ariel
>> Como ya se ha dicho en otros lugares, lamentablemente algunas personas
>> todavía tratan IPv6 como algo accesorio.
>>
>> Afortunadamente en este caso no hay necesidad de pánico pues los
>> detalles de la vulnerabilidad no son públicos.
>> Vamos a esperar la confirmación por parte del autor que esta última
>> versión haya corrido el problema.
>>
>> Fernando Frediani
>>
>> On 01/04/2019 04:48, Ariel Weher wrote:
>>> Estimados amigos:
>>>
>>> Se encuentra circulando en internet información relacionada a una
>>> vulnerabilidad relacionada con los sistemas Mikrotik que tienen
>>> configurado IPv6.
>>>
>>> Aparentemente el investigador Marek Isalski asegura que puede consumir
>>> el total de la memoria de cualquier equipo Mikrotik (y forzar su
>>> reinicio) con solo enviar paquetes mal formados a cualquier interface
>>> que cuente con direccionamiento IPv6.
>>>
>>> Aparentemente el investigador hizo una demo del ataque:
>>> https://youtu.be/TzC-JVjMK8k
>>>
>>> Varios sitios que tratan el problema piden que se deshabite el
>>> protocolo IPv6 para solucionar esta falla de seguridad.
>>>
>>> Los detalles de la vulnerabilidad aún no son públicos. El investigador
>>> asegura que los va a volver públicos en el evento UKNOF43 el día 9 de
>>> Abril de 2019.
>>>
>>> Mientras tanto:
>>>
>>> * POR FAVOR NO APAGAR EL PROTOCOLO IPv6 *
>>>
>>> Esto podría ser corregido por el equipo que desarrolla RouterOS antes
>>> de la fecha mencionada, o bien podría ser remediado con alguna otra
>>> medida al momento de conocerse los detalles de la vulnerabilidad.
>>>
>>> Es muy importante estar informado acerca de los nuevos releases de
>>> software y de los detalles de este caso antes de tomar cualquier
>>> medida extrema.
>>>
>>> Saludos!
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>> .
>>
> 
> 

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492