IPv6-sikkerhedshul åbner for DDoS mod routere

Både Cisco og Juniper advarer om et sikkerhedshul i deres routere, hvor en særligt udformet IPv6-pakke kan bruges til at udføre et denial-of-service-angreb.

Routere, der er sat op til at håndtere IPv6, kan blive ramt af et denial-of-service-angreb takket være et sikkerhedshul, som foreløbig er fundet i softwaren på routere fra både Cisco og Juniper Networks. Det skriver The Register.

Der er tale om, at de to leverandører har implementeret IPv6's Neighbor Discovery (ND) på en måde, der gør det muligt at misbruge ND-pakker til at overbelaste routeren.

Ifølge Cisco burde styresystemet i routeren smide disse ND-pakker ud, når den modtager dem, men i stedet bliver de sendt videre og behandlet af routeren. Det gælder også for Juniper Networks' implementering.

Hvis pakken er udformet på en særlig måde vil behandlingen af pakken medføre en betydelig belastning af routerens processor.

Da det er muligt at sende disse pakker udefra, kan det altså bruges til at overbelaste routeren, så den ikke kan håndtere den normale trafik. Det er angiveligt også sket i praksis ifølge CVE-registreringen af sikkerhedshullet.

Både Cisco og Juniper er i færd med at rette deres software, og Juniper foreslår også et workaround, hvor firewallen kan filtrere ND-pakker fra ved kanten af netværket for at begrænse angrebsfladen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere