Cisco 디바이스에서 IPv6 Ping of Death 취약점 발견

Cisco 디바이스에서 IPv6 Ping of Death 취약점 발견

Cisco warns IPv6 ping-of-death vuln is everyone's problem

IPv6 Neighbor Discovery 취약점 경고

이번 취약점은 IPv6 Neighbor Discovery(이하 ND)패킷에 존재하는 취약점으로 해당 취약점을 악용하면 해커가 악의적인 IPv6 패킷을 취약점이 존재하는 디바이스로 발송하여 원격에서 DoS공격을 진행할 수 있습니다. 이 디바이스들의 비효율적 처리로직 때문에 악의적인 IPv6 ND 패킷을 받은 후 디바이스가 멈춰 더이상 IPv6 트래픽을 받지 못해 Dos 공격이 일어나는 것입니다. 

"Neighbor Discovery Protocol은 IPv6의 중요한 프로토콜 중 하나로, IPv4보다 더 발전된 것이라고 볼 수 있습니다. IPv4를 사용하는 관점에서 보았을 때, IPv6의 NDP 프로토콜은 IPv4의 ARP, ICMP 라우터 검색, ICMP 리다이렉션 프로토콜등의 프로토콜의 집합으로 볼 수 있습니다. 그렇기 때문에 이 프로토콜의 기능은 매우 다양합니다. 예를들어, NDP는 ARP 프로토콜을 대신하여 IP와 MAC 주소를 매칭시켜 줄 수도 있습니다. IPv4시대에는 이런 비교적 통일된 해결방안이 존재하지 않았습니다. "

IPv6가 광범위하게 사용됨에 따라, 악성 노드는 각종 공격들을 초래하였으며, NDP의 보안성에 사람들이 관심을 갖게 되었습니다. 시스코에 따르면, 이번에 발견된 취약점(CVE-2016-1409)은 시스코 IOS, IOS XR, IOS XE 및 NX-OS에 존재하며, 디바이스 설정을 글로벌 IPv6 address 및 incoming traffic 처리로 설정을 해놓았다면 취약점이 악용될 수 있습니다. 

주의해야 할 점은, 이 취약점은 시스코 제품에만 존재하는 것이 아니기 때문에 다른 제품들도 영향을 받을 가능성이 있습니다. 

취약점 영향 및 해결방안

Switchzilla는 이렇게 경고하였습니다. 

"이번 취약점은  Cisco에만 존재하는 것이 아니며, 처리과정 중 혹은 하드웨어에서 이런 패킷들을 초기에 Drop 할 수 없는 IPv6처리 기기들은 모두 해당 취약점에 영향을 받을 수 있습니다. "

Cisco는 해당 취약점을 패치할 것이며, 기업 관리자들은 해당 취약점이 존재하는 디바이스가 있다면, 외부에서 유입되는 IPv6 트래픽 모니터링을 철저히 하라고 권고하였습니다. 

"IPv6 NDP는 로컬링크로만 제한해야 하며, 외부에서 전송되는 패킷들은 모두 Drop 시켜야만 사내 네트워크를 안전하게 보호할 수 있습니다. 외부에서 유입되는 악의적인 패킷을 drop시키는것 만으로도 기본적인 공격들은 모두 차단할 수 있습니다. 그리고 만약 가능하다면, IPv6 NDP를 static 설정으로 해놓고 외부에서 유입되는 IPv6를 모두 deny로 설정해 놓아야 합니다.  "

Cisco는 현재까지 아직 패치를 내놓지 않고 있는 상황입니다. 

출처 : 

http://www.channelregister.co.uk/2016/06/02/cisco_warns_of_ipv6_dos_vulnerability/