Vulnerabilidades do IPv6 começam a preocupar

Nos últimos tempos, especialistas do mercado de TI observaram aumento no número de ataques que se aproveitam de vulnerabilidades conhecidas do IPv6, novo protocolo de internet que substitui o IPv4.

A Salient Federal Systems, empresa de engenharia de TI, identificou uma série de incidentes que envolvem ataques ao IPv6, baseados, por exemplo, em resolução de DNS. A companhia afirma que todas essas ameaças podem ser eliminadas com o uso de um conjunto de ferramentas de inspeção de IPv6-enabled.

“Estamos de olho nesses ataques, só não podemos dizer onde eles estão”, diz Lisa Donnan, que lidera o Centro de Excelência de Segurança Cibernética da Salient, que em março comprou a Command Information para reforçar a atuação no segmento de IPv6.

Mesmo que não aponte exatamente onde estão concentrados esses ataques, a organização apresenta os motivos pelos quais são desencadeados. O primeiro deles é resultado do intenso tráfego de IPv6 encapsulado em redes IPv4, fruto de um mecanismo chamado Teredo, que está embutido no Microsoft Windows Vista e Windows 7. 

Essa vulnerabilidade é conhecida há pelo menos cinco anos, mas ainda está sendo explorada. “Esse cenário é um sinal verde para penetração na rede”, afirma Jeremy Duncan, diretor sênior e arquiteto de rede IPv6 da Salient Federal Systems.

Duncan mostra preocupação em relação ao uTorrent, cliente IPV6 e que é usado para compartilhamento de grandes arquivos como músicas e filmes. O executivo diz que o uTorrent roda em Toredo e a comunidade BitTorrent, que também possibilita compartilhamento, está descobrindo o mundo IPv6 como forma de evitar o congestionamento da rede.

Duncan diz que os usuários do Vuze, outra aplicação BitTorrent, preferem IPv6 ao IPv4.

“Usuários BitTorrent estão descobrindo que o IPv6 evita o estrangulamento da rede”, diz Duncan.”Esse é um problema para as operadoras. Eles não serão capazes de desacelerar o tráfego IPv6 porque não estão efetuando o controle”, completa.

A Salient Federal observou ainda uma série ataques com Type 0 Routing Heade, recurso do IPv6 que permite que um operador de rede identifique roteadores ao longo do caminho que ele quer danificar. O Internet Engineering Task Force recomendou em 2007 a desativação desse sistema por considerá-lo uma ameaça grave.

A Command Information identificou um ataque chamado Routing Header Type 0 após um de seus roteadores de borda sair de operação. Ele teve origem a partir de uma rede de pesquisas na China. Se tivesse sido bem-sucedido, teria permitido que o invasor enviasse o tráfego malicioso para a Command, comprometendo a rede.

“Os gerentes de rede têm de desativar esse recurso em seus roteadores”, diz Duncan. “Esses sistemas estão presentes em, por exemplo, roteadores da Cisco, embora os mais recentes não tenham essa função. Assim, o problema são os mais antigos.”

Outra ameaça relacionada ao IPv6 tem origem em Sistemas de Nomes de Domínios (do inglês DNS) chamados Quad-A, usados pelo IPv6. Duncan afirma que o Quad está presente em todas as redes que a empresa monitora, mesmo que muitas delas não suportem ainda o tráfego IPv6. Duncan se refere às redes IPv4 que transmitem Quad-A como uma “arma carregada”.

“Quando as empresas têm máquinas para IPv6, mas não habilitou ainda o novo protocolo, os hackers sabem que elas não contam com sistema de gestão para IPv6”, assinala. “Assim, podem facilmente inundar servidores de e-mail com spam que contém malware. Tudo o que o cracker precisa é de um usuário com privilégios elevados para abrir uma mensagem de spam com malware. Lá, o malware pode encontrar caminho na rede por meio do firewall.”

A solução, aponta Duncan, é bloquear o IPv6 se a organização ainda não usa metodologia ou tecnologias para detectar ações como essa.

De acordo com Duncan, os gerentes de rede estão criando consciência sobre a importância do IPv6, mas não estão direcionando esforços para questões relacionadas à segurança. “Não há foco na segurança IPv6 como há com IPv4”, diz ele. Cresceu essa preocupação após registros de empresas norte-americanas atacadas por invasores da China.

É por isso que, diante de tantas possibilidades de ameaças, Duncan recomenda que companhias que estão implementando IPv6 em suas redes adotem controles adequados de segurança.

“As organizações precisam certificar-se de que seus fornecedores de segurança podem protegê-las contra essas vulnerabilidades específicas oriundas do IPv6”, aconselha.