Những kịch bản tấn công giao thức IPv6 đáng sợ nhất
Các chuyên gia của Salient Federal cho biết, đang có sự gia tăng các hành vi khai thác 4 lỗ hổng đã biết của IPv6.
Salient Federal Solutions, một công ty CNTT thuộc bang Virginia (Mỹ), đã thông báo những vấn đề đáng quan ngại về các cuộc tấn công IPv6 dựa trên khả năng tạo ra đường hầm IPv6 (kỹ thuật để chuyển các gói tin IPv6 trên mạng IPv4), Routing Header (xác định đường đi của gói tin qua các router), truyền phát rộng rãi DNS và thông báo giả mạo định tuyến. Công ty cũng khẳng định rằng tất cả các mối đe dọa này có thể được loại bỏ bằng việc sử dụng các công cụ kiểm tra sâu gói tin IPv6. Các công cụ này hiện có bán trên thị trường.
"Chúng tôi thấy rõ các cuộc tấn công này, nhưng không thể nói nơi chúng tôi thấy chúng", Lisa Donnan, Phụ trách Trung tâm An ninh mạng của Salient cho biết. Hồi tháng Ba, Salient Federal Solutions đã thâu tóm Command Information, một công ty chuyên về tư vấn và đào tạo IPv6.
Hiểm họa số 1, theo Salient Federal là hiện có quá nhiều lưu lượng IPv6 được truyền theo đường hầm (tunnel) qua các mạng IPv4, đặc biệt bằng cách sử dụng cơ chế Teredo được tích hợp sẵn trong Windows Vista và Windows 7. Lỗ hổng của đường hầm chuyển gói tin IPv6 qua mạng IPv4 đã được biết đến hơn 5 năm trước đây, nhưng vẫn tiếp tục bị khai thác.
“Đường hầm IPv6 cấp cho kẻ tấn công một đường ưu tiên thâm nhập vào các mạng", Jeremy Duncan, Giám đốc cấp cao và kiến trúc sư mạng IPv6 của Salient Federal Systems, khẳng định.
Duncan lo lắng về uTorrent, một phần mềm miễn phí hỗ trợ IPv6 chạy trên máy khách để thiết lập giao thức chia sẻ dữ liệu trên mạng ngang hàng BitTorrent, thường được sử dụng để chia sẻ các tập tin lớn như âm nhạc và phim ảnh. Duncan nói uTorrent chạy rất tốt trên Teredo. Theo ông, cộng đồng BitTorrent đang khai thác IPv6 để vượt qua giới hạn băng thông nhỏ hẹp do các ISP (nhà cung cấp dịch vụ Internet) quản chặt lưu lượng BitTorrent trên các mạng IPv4.
Một ứng dụng BitTorrent tương tự cũng được ông nhắc đến là Vuze.
“Những người sử dụng BitTorrent đang khám phá ra rằng họ sẽ không bị “bóp” băng thông với IPv6", Duncan nói. "Đây là vấn đề cho các công ty viễn thông. Họ sẽ không thể hạn chế lưu lượng truy cập IPv6 do không thể kiểm soát nó".
Salient Federal còn phát hiện ra các cuộc tấn công với Type 0 Routing Header của IPv6, là một tính năng IPv6 cho phép một nhà điều hành mạng xác định các bộ định tuyến dọc theo tuyến đường mà nó muốn các gói dữ liệu đi qua. Vào năm 2007, Nhóm đặc trách kỹ thuật Internet (The Internet Engineering Task Force - IETF) đã khuyến cáo nên ngắt tính năng này của IPv6 để tránh các cuộc tấn công từ chối dịch vụ (DoS). Nhóm gọi mối đe dọa này là “đặc biệt nghiêm trọng".
Tuy nhiên, Salient Federal vẫn nhận thấy các vụ tấn công Type 0 Routing Header vào các mạng IPv6 mà công ty giám sát. Ví dụ, Command Information đã lần theo kiểu tấn công này tới một trong những bộ định tuyến của công ty kết nối ra bên ngoài mà hiện không còn hoạt động. Vụ tấn công bắt nguồn từ một mạng nghiên cứu ở Trung Quốc. Nếu vụ tấn công thành công, Command Information sẽ trở thành bàn đạp để hacker Trung Quốc đẩy luồng mã độc tới các mạng khác.
“Các nhà quản lý mạng phải tắt tính năng này trong các router của họ", Duncan nói. "Tính năng này là mặc định với mọi router của Cisco khi xuất xưởng trong vài năm trước. Những router mới hơn đã tắt tính năng này; vấn đề xảy ra với các router cũ hơn".
Một mối đe dọa khác liên quan đến IPv6 đến từ cách thức hệ thống phân giải tên miền (DNS) của Internet phát broadcast (gửi dữ liệu đến tất cả các host trong một mạng con) cái gọi được gọi là bản ghi Quad A được sử dụng bởi IPv6. Theo Duncan, các truy vấn Quad A hiện diện trên bất cứ mạng nào mà công ty đang giám sát, mặc dù nhiều mạng trong số đó không hỗ trợ lưu lượng IPv6.
Khi các truy vấn Quad A đang phát broadcast, có nghĩa là một số nút (node) trên mạng đã được kích hoạt IPv6, vì thế có thể sẽ bị một cuộc tấn công dựa trên IPv6 nhắm tới. Bởi vì bản thân mạng không hỗ trợ IPv6 nên bộ quản lý mạng không có khả năng giám sát lưu lượng IPv6 với các công cụ kiểm tra kỹ gói tin.
Duncan xem những mạng IPv4 phát broadcast các bản ghi Quad-A cũng như "khẩu súng đã nạp đạn".
"Khi các công ty có các thiết bị đã kích hoạt IPv6 nhưng mạng không kích hoạt IPv6, tin tặc biết rằng việc quản lý mạng cho IPv6 là thiếu", Duncan nói. "Chúng có thể dễ dàng làm ngập các máy chủ mail của tổ chức với cả đống thư rác có chứa phần mềm độc hại. Chỉ cần một người dùng với đặc quyền cao mở một thư rác chứa phần mềm độc hại, phần mềm độc hại này có thể mở một đường hầm cho các gói tin IPv6 xuyên qua tường lửa".
Theo Duncan, dù ông chưa thấy lỗ hổng Quad-A bị khai thác, nhưng ông tin rằng nó là một mối đe dọa lớn cho các doanh nghiệp.
"Chúng tôi chưa thấy lỗ hổng này bị khai thác, nhưng chúng tôi đã thấy rất nhiều lưu lượng truy cập theo đường hầm IPv6 không được kiểm tra", Duncan nói. "Mỗi doanh nghiệp có thể có hàng chục ngàn bản ghi Quad A đang được phát broadcast. Giải pháp là khóa IPv6 nếu bạn không sử dụng nó và sử dụng công cụ kiểm tra gói tin sâu".
Cuối cùng, Salient Federal cho biết đã nhận thấy khả năng thông báo bộ định tuyến giả mạo cho các gói tin IPv6, mặc dù công ty thừa nhận rằng chưa phát hiện hành động hiểm độc này. Nhưng thông báo bộ định tuyến giả mạo là một mối đe dọa mà IETF đã đưa ra cảnh báo vào tháng Hai, chỉ ra rằng lỗ hổng này có thể được sử dụng để tấn công từ chối dịch vụ hoặc tấn công man-in-the-middle (đây là hình thức chặn các gói tin, chuyển đến máy chủ của kẻ tấn công, rồi mới chuyển tiếp, khiến các nạn nhân vẫn tin tưởng đang truyền thông trực tiếp với nhau).
Mối đe dọa này xuất phát từ thực tế là các thiết bị được kích hoạt sẵn IPv6, khi nối mạng, luôn luôn lắng nghe các thông báo về bộ định tuyến vì tính năng tự động cấu hình IPv6. Tuy nhiên, các thiết bị trạm này có thể bị lừa bởi các thông báo giả mạo do lỗi quản trị mạng hoặc các cuộc tấn công của tin tặc. Các thông báo định tuyến giả mạo cho IPv6 xuất hiện cả trong các mạng không dây và có dây.
"Các doanh nghiệp cần phải khắc phục lỗi, kiểu như RA Guard của Cisco, trên các bộ chuyển mạch (switch) và router của họ, nhưng còn cần phải kích hoạt IPv6 trên mạng lõi”, Duncan nói. "Bạn cũng cần phải sử dụng công cụ chuyên về kiểm tra gói tin ngay trên mạng của mình".
Duncan thúc giục các công ty triển khai IPv6 trên mạng của họ và kiểm soát an ninh mạng thật chặt chẽ, chẳng hạn như kiểm tra sâu gói tin tại chỗ để họ có thể quản lý các lỗ hổng liên quan đến IPv6.
"Các doanh nghiệp cần phải đảm bảo rằng các nhà cung cấp dịch vụ bảo mật cho họ có thể bảo vệ chống lại những lỗ hổng IPv6 cụ thể này", ông nói. Ông kêu gọi các công ty quan tâm tới việc huấn luyện về IPv6 cho các kỹ sư mạng và hệ thống của họ, đồng thời triển khai kế hoạch an ninh mạng IPv6.
Duncan nói rằng các nhà quản lý mạng doanh nghiệp đã có nhận thức về IPv6 nhưng họ lại chưa quan tâm lắm tới các vấn đề liên quan đến bảo mật. "Chưa có nhiều sự quan tâm đến an ninh mạng IPv6 như với mạng IPv4", ông nói.
Donnan tỏ ra lo ngại cho các công ty Mỹ dễ bị tấn công IPv6 bởi tin tặc từ những nước như Trung Quốc.
Các công ty viễn thông và các doanh nghiệp đang chuyển sang IPv6 bởi vì Internet đang vận hành vượt ra ngoài khả năng gán địa chỉ theo giao thức cũ IPv4. Nguồn địa chỉ IPv4 đã cạn vào hồi tháng Hai, và trong tháng Tư khu vực Châu Á Thái Bình Dương đã cấp phát hết địa chỉ IPv4.
IPv4 sử dụng địa chỉ 32-bit và có thể hỗ trợ 4,3 tỷ thiết bị kết nối trực tiếp với Internet, còn IPv6 sử dụng địa chỉ 128-bit và có thể kết nối một lượng không giới hạn các thiết bị (về lý thuyết lên đến 2^128 = 3.40282367 × 1038). IPv6 hứa hẹn cung cấp các dịch vụ Internet nhanh hơn, ít tốn kém hơn so với IPv4 - hiện vẫn phải sử dụng các thiết bị chuyển đổi địa chỉ mạng (NAT) để khắc phục việc thiếu địa chỉ.
Theo PCWorld VN
Những kịch bản tấn công giao thức IPv6 đáng sợ nhất
