«Откуда не ждали»: как IPv6 может скомпрометировать сети

30.03.2022 | VAS Experts

Всему виной стандарт EUI-64. Он перешел в разряд legacy, но еще используется разработчиками IoT-устройств (и не только). Рассказываем, в чем тут дело.

Ямы на пути

Как известно, внедрение IPv6 идет достаточно медленно — работу с ним поддерживает примерно 21% сайтов. Эксперты ожидают, что массовая миграция на протокол нового поколения произойдет не раньше, чем через десять лет. На то есть несколько причин — это технические и финансовые сложности, а также наличие NAT, который «сглаживает» нехватку IPv4-адресов. Однако процесс тормозят и моменты, связанные с информационной безопасностью.

Официальный запуск IPv6 состоялся почти десять лет назад, но инженеры до сих пор находят уязвимости в техническом стеке. Так, в 2020 году обнаружили баг, связанный с ICMPv6, который использует механизм объявления маршрутизатора (CVE-2020-16898). Эта уязвимость позволяла злоумышленникам запускать вредоносный код на скомпрометированной машине.

Одну из наиболее свежих проблем обозначили специалисты из Института информатики общества Макса Планка в конце марта. Согласно их отчету, устройства, использующие механизм EUI-64 для генерации идентификатора интерфейса (второй части адреса IPv6), компрометируют работу сети, в которой они находятся.

Как так вышло

Существует механизм SLAAC, который позволяет устройству получить у маршрутизатора информацию о префиксе без помощи протокола для конфигурации узлов DHCPv6. Эта информация и 64-битный идентификатор интерфейса (IID) нужны, чтобы получить индивидуальный сетевой IPv6-адрес.

Один из способов сформировать уникальный IID — это сгенерировать его на основе MAC-адреса устройства (механизм EUI-64). Но такой подход сегодня считается не просто ненадежным, но даже опасным, так как раскрывает идентификатор аппаратного обеспечения на уровне сети. Поэтому сообществом были разработаны специальные расширения к стеку IPv6 — например, описанные в RFC4941 — которые «рандомизируют» выбираемую хостом часть адреса. В то же время интернет-провайдеры подменяют префиксы адресов для дополнительной защиты.

Но, к сожалению, ряд разработчиков аппаратного обеспечения — по большей части устройств интернета вещей — до сих пор используют «чистый» EUI-64 для генерации IID. С его помощью злоумышленники могут определить производителя сетевого устройства (и, как следствие, потенциальные уязвимости), а также следить за другими девайсами в сети, использующими аналогичный IID. По словам инженеров-исследователей, этой уязвимости подвержены порядка 19% всех префиксов в сетях крупных мировых интернет-провайдеров.

Как быть

В целом решение проблемы лежит на плечах разработчиков аппаратного и программного обеспечения — они должны уделить внимание информационной безопасности устройств и по умолчанию включить доступные защитные механизмы.

По словам специалистов, решить вопрос можно и на правительственном уровне, если регуляторы потребуют от поставщиков сертифицировать продукты на соответствие стандартам, позволяющим закрыть уязвимости EUI-64. В то же время интернет-провайдеры могут проверять роутеры, прежде чем передавать их своим клиентам.

Поделиться в социальных сетях