Juniper Networks заявила о том, что выпустила внеплановые патчи для серьезной уязвимости в механизме обработки IPv6-пакетов, подвергавшей Junos OS и маршрутизаторы JUNOSe угрозе DoS-атак. Патчи появились спустя два месяца после того, как информация об уязвимостях стала достоянием общественности.

Juniper еще в июне предупредила администраторов сетей об этих проблемах, кроющихся в механизме, используемом маршрутизаторами Juniper для обработки IPv6-пакетов и делающих их уязвимыми к DDoS-атакам. В минувший понедельник компания объявила о выпуске патчей, а также представила ряд временных решений.

«Уязвимость в механизме обработки IPv6-пакетов приводит к тому, что специально созданный IPv6 NDP-пакет (Neighbor Discovery Protocol) принимается маршрутизатором, хотя должен быть отвергнут», — говорится в информационном бюллетене.

Представители компании заявили, что обработка таких пакетов позволяет удаленным и неаутентифицированным атакующим осуществлять DDoS-атаки путем передачи особой последовательности байтов.

«Поток вредоносных пакетов, направленный мимо локального широковещательного домена, приводит к перегрузке ЦПУ движка маршрутизации или же к активации защитных механизмов ARP-протокола», — говорится в бюллетене.

По словам представителей Juniper, уязвимость (CVE-2016-1409) классифицируется ими как среднеопасная. Компания выпустила патчи для JUNOSe FC3 (LM10a, LM10U и LM10ADV) и FC2 (LM4).

Патчи устраняют аж две различные проблемы, связанные с обработкой NDP-пакетов. Одна из них связана с тем, что ОС Junos и маршрутизаторы JUNOSe не могут отказать в приеме не соответствующего спецификациям RFC4861 NDP-трафика, направляемого маршрутизатору, что приводит к частичной удаленной DoS-атаке. «Помимо этого с учетом маршрутизируемой природы NDP-пакетов атака может быть осуществлена и в обход локального широковещательного домена», — заявляют представители компании.

Вторая проблема также связана с обработкой NDP-пакетов. «Исключения QFX5100 приводят к перенаправлению NDP-трафика на движок маршрутизации, вызывая частичный локальный отказ в обслуживании», — отмечают специалисты Juniper.

Juniper далеко не единственная компания, борющаяся с IPv6-уязвимостями. В июне Cisco устранила схожую NDP-уязвимость, имеющую тот же CVE-идентификатор (CVE-2016-1409). Эта уязвимость позволяла осуществлять удаленные DDoS-атаки на сетевые устройства Cisco.

Саймон Гибсон (Simon Gibson) из Gigamon заявил, что оповещения, изданные обеими компаниями, являются частью крупной кампании, в рамках которой проходит раскрытие подробностей реализации протокола IPv6 различными компаниями. «Проблема тут не в IPv6. Она кроется в неправильном подходе при реализации этого протокола, и эта ошибка может обернуться серьезными последствиями», — отметил эксперт.

Протокол IPv6 был разработан Инженерным советом Интернета (IETF) в 2008 году. Он разрабатывался с целью решить проблему, связанную с сокращением доступных IPv4-адресов.

Категории: Уязвимости